Il trasferimento ICSR extra UE comporta dei rischi a livello di compatibilità tra accordi di farmacovigilanza e GDPR. Ecco come è possibile essere conformi con SafetyDrugs.

In un mondo in costante evoluzione, la protezione dei dati personali è diventata una priorità fondamentale. Per le aziende farmaceutiche, le attività di farmacovigilanza implicano la gestione di dati sensibili dei pazienti, rendendo fondamentale la conformità al Regolamento Generale sulla Protezione dei Dati (GDPR). In questo articolo, esploreremo le avvertenze dell’Agenzia Europea dei Medicinali (EMA) alle QPPV circa il rischio di non ottemperanza al GDPR e di come SafetyDrugs offra una soluzione per garantirne la conformità.

Il GDPR, acronimo di General Data Protection Regulation, è una legislazione europea entrata in vigore il 25 maggio 2018. La sua missione consiste nell’armonizzare e rafforzare le leggi sulla privacy dei dati personali in tutti i paesi membri dell’Unione Europea (UE).

Tra le principali modifiche introdotte ricordiamo:

• la necessità del consenso esplicito per la raccolta e l’elaborazione di dati personali;
• il diritto di richiedere la cancellazione dei propri dati personali, noto come diritto all’oblio;
• l’introduzione di rigorose misure di sicurezza dei dati per proteggere i dati personali dai rischi di perdita, furto o accesso non autorizzato;
• la tempestiva notifica delle violazioni dei dati (data breach) entro 72 ore dalla loro scoperta;
• l’introduzione del DPIA (Data Protection Impact Assessment) per la conduzione delle valutazioni d’impatto sulla protezione dei dati al fine di identificare e mitigare i rischi inerenti la privacy associati alle attività di trattamento dei dati.

Il GDPR impone requisiti rigorosi sul trattamento dei dati personali, tra i quali rientrano a maggior titolo i dati presenti nelle segnalazioni di farmacovigilanza in quanto dati sensibili. A tal proposito è intervenuta EMA (European Medicines Agency) che con una lettera indirizzata alle QPPV e relativa lettera di chiarimento, ha fatto presente a tutti i titolari di AIC (autorizzazione all’immissione in commercio) che per la distribuzione di ICSR a partner e vari stakeholder al di fuori dell’UE, è necessario rispettare gli standard dettati dal GDPR.

In particolare, EMA ha segnalato che alcune aziende titolari di AIC hanno trasferito integralmente, senza protezione dei dati personali, i narrative dei casi scaricati da EudraVigilance verso paesi terzi. EMA ha pertanto richiamato l’attenzione sul fatto che i MAHs (Market Authorisation Holders) sono responsabili per le attività di trattamento dei dati personali nell’ambito della farmacovigilanza, compreso l’accesso e il successivo trattamento dei dati contenuti negli ICSR provenienti da EudraVigilance. Questo comporta l’obbligo di rispettare le regole stabilite nel GDPR e nelle leggi nazionali sulla protezione dei dati, quando applicabili.

EMA, inoltre, sottolinea che l’uso delle Clausole Contrattuali Standard (SCC) o delle Clausole Standard per la Protezione dei Dati (SDPC) da parte dei MAHs, non sono sufficienti a garantire la conformità alle norme sulla protezione dei dati, in particolare quelle previste dal Capitolo V del GDPR. La valutazione dell’impatto del trasferimento dei dati dovrebbe essere condotta prima di concludere le SCC, tenendo conto delle leggi e delle pratiche del paese terzo di destinazione.

EMA ha inoltre pubblicato un elenco di Paesi, che seppur extra UE, forniscono una protezione adeguata su valutazione dalla Commissione Europea.

Sulla base delle indicazioni fornite da EMA, il team di SafetyDrugs ha creato un nuovo modulo in grado di aiutare le aziende farmaceutiche a rispettare i requisiti rigorosi del GDPR garantendo la conformità alla privacy nella distribuzione delle segnalazioni di farmacovigilanza a paesi extra UE.

I farmacovigilanti non dovranno più preoccuparsi di inviare erroneamente dati soggetti a privacy, in quanto il Modulo GDPR aggiunge al safety database la modalità “Under data protection”. Tale modalità permette:

Creazione elenco dati soggetti a privacy e impostazione di regole automatiche per la protezione. Il modulo consente di creare un elenco di dati non trasferibili extra UE e di impostare relative regole di protezione:

• dati sensibili come età, genere, anamnesi, dati clinici rilevanti e altri dati personali, come la storia sanitaria dei membri della famiglia, sono sostituibili con il nullflavor “Masked”, ove consentito dalle regole ICH R3;
• dati relativi alla località come, ad esempio, il country code dal Safety Report ID, dal WWN code e dal Other case identifier, possono essere sostituiti con la dicitura “EU” o “NONEU” in base alla provenienza;
• nome del medicinale, che potrebbe rivelare informazioni circa la località, è sostituibile con il nome della sostanza attiva. Alternativamente può essere utilizzato uno spazio vuoto;
• sezioni del narrative, come commenti o informazioni addizionali, possono essere sostituite con testo parametrico oppure con spazi vuoti.

Export XML e generazione CIOMS conformi al GDPR. È possibile esportare ICSR, in formato file XML R2 e R3, e generare CIOMS con oscurazione dei dati soggetti a protezione in modo automatico. È altresì possibile scegliere se estrapolare o meno gli allegati che potrebbero contenere informazioni sensibili.

Gestione dei destinatari. Per ogni destinatario definito come “under data protection”, è possibile impostare gli elementi che devono essere mascherati.

Parametrizzazione personalizzata. In SafetyDrugs è possibile definire le impostazioni del modulo GDPR sopra descritte.

Siamo entusiasti di introdurre questa importante implementazione a SafetyDrugs per aiutare le aziende a garantire una farmacovigilanza responsabile e conforme al GDPR. Se la tua azienda è interessata a saperne di più sul Modulo GDPR di SafetyDrugs, non esitare a contattarci. Risponderemo a tutte le tue domande e ti guideremo attraverso il processo di configurazione.