El GDPR está frenando la investigación médica
El año pasado, el presidente norteamericano, Joe Biden, y la presidenta de la Comisión Europea, Ursula von der Leyen, se comprometieron con un marco transatlántico para restaurar los flujos de datos comerciales entre EE.UU. y la UE, después que el Tribunal de Justicia de la Unión Europea (TJUE) los detuviera abruptamente en 2020.
La regulación anterior, conocida como el Privacy Shield Framework, infringía los estrictos estándares de privacidad de datos del bloque europeo, algo que quedó al descubierto a raíz de la denuncia del abogado austriaco Max Schrems contra Facebook, alegando que las leyes estadounidenses no ofrecían la misma protección que las directivas europeas.
Las leyes europeas sobre la privacidad – el conocido Reglamento General de Protección de Datos de la UE o GDPR – se basan en el concepto de un flujo libre de datos personales, pero sólo dentro de una esfera que protege la privacidad del usuario. La incógnita es si en el nuevo marco regulatorio transatlántico, las empresas estadounidenses podrán seguir procesando datos europeos sin cumplir el GDPR, o si empezarán a requerir del consentimiento personal como base legal para el tratamiento de datos.
Me gustaría, sin embargo, situar el foco en un elemento menos discutido que también deberá resolver esta negociación: el impacto del GDPR en la investigación médica. El GDPR ofrece a los ciudadanos europeos más control sobre sus datos personales. Podría decirse que su alcance territorial demuestra lo que se ha acuñado como el efecto Bruselas: la capacidad de la UE para forjar estándares sectoriales como condición para el acceso al mercado, que luego son adoptados por empresas internacionales.
Pero el GDPR también ha tenido consecuencias no deseadas bastante problemáticas, fruto de aplicar los principios generales aplicados a las industrias de marketing y otras formas de procesamiento de datos a la investigación biomédica. Las aplicaciones e interpretaciones del GDPR no consideran adecuadamente cómo los usos de investigación de los datos personales difieren de otros usos, particularmente porque los datos médicos están seudonimizados.
La situación actual es grave. Los científicos europeos están luchando por encontrar una base legal para compartir datos médicos bajo la nueva regulación. En paralelo, las agencias federales de EE.UU., como los Institutos Nacionales de Salud (NIH), el mayor financiador mundial de investigación biomédica, no tienen hoy canales abiertos para recibir datos seudonimizados recopilados por sus socios europeos. Esto implica que un número importante de grupos de investigación y universidades estadounidenses tienen prohibido legalmente aceptar los requisitos de transferencia de datos bajo el GDPR.
Tradicionalmente, la directiva de protección de datos había dado prioridad al empleo del consentimiento como base jurídica legitimadora. Sin embargo, en la actualidad, el recurso al consentimiento no siempre es sencillo ni viable, especialmente cuando la investigación se basa en la recogida, explotación, combinación y reutilización de datos para fines secundarios y el uso de tecnologías Big Data, especialmente en el ámbito de la investigación genómica. El reto, pues, reside en el uso de datos revelados por pacientes o participantes en investigaciones con otras finalidades no previstas inicialmente.
Muchas colaboraciones científicas basadas en el uso de la analítica de datos, incluso después de incluir el debido consentimiento informado del paciente, están estancadas. 47 centros de investigación clínica en la UE no pudieron inscribirse en ensayos de fármacos contra la Covid financiados por el NIH. 35 proyectos europeos que evalúan las influencias genéticas y ambientales en el riesgo de padecer distintos tipos de cáncer no pueden progresar.
Además, el GDPR está teniendo efectos directos en la atención clínica en los centros académicos. Los investigadores de los centros clínicos del NIH no pudieron obtener muestras de donantes compatibles de Alemania para ofrecer un tratamiento de trasplante de células madre a algunos pacientes con linfoma, a pesar del consentimiento del donante.
Las implicaciones para la investigación clínica europea son también considerables. Cuando los datos recopilados de los pacientes no se pueden exportar, las empresas farmacéuticas con sede en la UE no pueden presentarlos a las agencias reguladoras de terceros países, incluida la Administración de Alimentos y Medicamentos de EE. UU, la FDA. Como resultado, pueden verse obligados a reubicar centros clínicos fuera de la UE para acceder a un mayor número de mercados.
Una estimación indica que esto podría haber reducido el gasto en ensayos clínicos en Europa en alrededor de 8.900 millones de euros anuales (Eiss, 2020). Asimismo, otro trabajo reciente sugiere que el número de ensayos clínicos fase 1 y 2 en países no adheridos al GDPR aumentaron considerablemente (Yom-Tov & Ofran, 2022).
El nuevo marco de colaboración entre EE. UU. y la UE para los flujos de datos comerciales es una oportunidad para forjar un pacto que mantenga las sólidas salvaguardas de privacidad del GDPR y al mismo tiempo permita que la ciencia avance. Algunas alternativas podrían tomar la forma de un acuerdo internacional o enmiendas al GDPR actual para reconocer el intercambio de datos científicos de interés público.
Las ciencias ómicas suponen una gran oportunidad para avanzar en nuevos tratamientos y herramientas diagnósticas, así como en la medicina preventiva. Resolver estas frustrantes barreras para el intercambio de datos entre Estados Unidos y Europa permitirá a los científicos desarrollar más y mejores ensayos clínicos, identificar nuevas dianas terapéuticas, y cumplir el contrato social con aquellos héroes que se ofrecen como voluntarios para ensayos clínicos y esperan que sus datos ayuden a impulsar el desarrollo de medicamentos innovadores.
El legislador debería procurar un equilibrio entre la libre circulación internacional de datos genéticos y de salud y la salvaguarda del derecho fundamental a la protección de datos personales.