23.9.2009   

PT

Jornal Oficial da União Europeia

C 229/19

1.

Em 10 de Dezembro de 2008, a Comissão adoptou duas propostas relativas à alteração do Regulamento (CE) n.o 726/2004 e da Directiva 2001/83/CE (3) O Regulamento (CE) n.o 726/2004 do Parlamento Europeu e do Conselho (4) estabelece procedimentos comunitários de autorização e de fiscalização de medicamentos para uso humano e veterinário e institui uma Agência Europeia de Medicamentos (a seguir denominada EMEA). A Directiva 2001/83/CE do Parlamento Europeu e do Conselho (5) contém regras referentes ao código comunitário relativo aos medicamentos para uso humano e trata de processos específicos a nível do Estado-Membro As alterações propostas referemse às partes relativas à farmacovigilância dos medicamentos para uso humano constantes de ambos os instrumentos.

2.

Entende-se por farmacovigilância a ciência e as actividades de detecção, avaliação, inteligibilidade e prevenção dos efeitos prejudiciais dos medicamentos (6). O sistema de farmacovigilância actualmente em vigor na Europa torna possível aos doentes e profissionais de saúde informarem de reacções adversas aos medicamentos os organismos públicos e privados relevantes envolvidos a nível nacional e europeu. A EMEA gere uma base de dados a nível europeu (a base de dados EudraVigilance) que funciona como ponto centralizado para a gestão e informação sobre reacções adversas a medicamentos.

3.

A farmacovigilância é encarada como um complemento necessário ao sistema comunitário de autorização de medicamentos que data de 1965, com a adopção da Directiva 65/65/CEE (7).

4.

Como se depreende das Exposições dos Motivos e da Avaliação do Impacto anexos à proposta, o actual sistema de farmacovigilância apresenta várias deficiências, que incluem a falta de clareza relativamente ao papel e responsabilidade dos vários agentes envolvidos, os complicados processos de informação das reacções adversas aos medicamentos, a necessidade de uma maior transparência e melhor comunicação sobre a segurança dos medicamentos, bem como a necessidade de racionalização dos planos de gestão dos riscos dos medicamentos.

5.

A intenção geral das duas propostas é remediar estas deficiências e melhorar e reforçar o regime comunitário de farmacovigilância com o objectivo de melhor proteger a saúde pública, assegurar o bom funcionamento do mercado interno e simplificar as regras e processos em vigor (8).

6.

O funcionamento geral do actual sistema de farmacovigilância baseia-se no tratamento de dados pessoais. Esses dados estão incluídos nas informações sobre reacções adversas aos medicamentos e podem ser considerados como dados relativos à saúde das pessoas em causa («dados de saúde»), uma vez que revelam informações sobre a utilização de medicamentos e os problemas de saúde com ela associados. O tratamento de tais dados está sujeito às rigorosas regras de protecção de dados estabelecidas no artigo 10.o do Regulamento (CE) n.o 45/2001 e no artigo 8.o da Directiva 95/46/CE (9). A importância da protecção desses dados foi recentemente reiterada pelo Tribunal Europeu dos Direitos do Homem no contexto do artigo 8.o da Convenção Europeia dos Direitos do Homem: a protecção dos dados pessoais, em particular dos dados médicos, é de importância fundamental para o gozo dos direitos que qualquer pessoa tem à vida privada e familiar garantido pelo artigo 8.o da Convenção (10).

7.

Apesar disso, não foi incluída qualquer referência à protecção de dados no texto actual do Regulamento (CE) n.o 726/2004 e da Directiva 2001/83/CE, com excepção de uma referência específica no regulamento, que será discutida adiante no ponto 21 e seguintes.

8.

A Autoridade Europeia para a Protecção de Dados (AEPD) lamenta que os aspectos de protecção de dados não sejam considerados nas alterações propostas e lamenta também não ter sido formalmente consultada sobre as duas propostas de alteração como previsto no n.o 2 do artigo 28.o do Regulamento (CE) n.o 45/2001. O parecer actual baseia-se, pois, no n.o 2 do artigo 41.o do mesmo regulamento. A AEPD recomenda que no preâmbulo de ambas as propostas seja incluída uma referência ao presente parecer.

9.

A AEPD regista que, embora a protecção de dados não seja suficientemente considerada nem no quadro jurídico actual da farmacovigilância nem nas propostas de alteração, a aplicação prática do regime central comunitário EudraVigilance levanta claramente questões nesta matéria. Assim, o actual regime EudraVigilance foi notificado pela EMEA à AEPD em Junho de 2008 para uma análise prévia com base no artigo 27.o do Regulamento (CE) n.o 45/2001.

10.

O presente parecer e as conclusões pela AEPD relativamente à análise prévia (cuja publicação se aguarda para mais tarde neste ano) incluirão necessariamente algumas repetições. No entanto, é diferente o enfoque de ambos os documentos: enquanto o presente parecer se centra no quadro jurídico geral subjacente ao sistema, tal como decorre do Regulamento (CE) n.o 726/0224 e da Directiva 2001/83/CE e das alterações propostas a estes instrumentos, a análise prévia constitui uma análise pormenorizada da protecção de dados com enfoque na forma como as regras actuais foram desenvolvidas nos instrumentos subsequentes (p. ex. decisões e directrizes) emitidos pela EMEA ou, conjuntamente, pela Comissão e pela EMEA, e a forma como o regime EudraVigilance funciona na prática.

11.

O presente parecer prosseguirá, em primeiro lugar, com uma explicação simplificada do sistema de farmacovigilância na UE tal como decorre do Regulamento (CE) n.o 726/2004 e da Directiva 2001/83/CE na sua forma actual. Subsequentemente, será analisada a necessidade de processar os dados pessoais no contexto da farmacovigilância. Em seguida, serão discutidas as propostas da Comissão para melhorar o quadro jurídico actual e previsto, e serão feitas recomendações sobre a forma como garantir e melhorar os padrões de protecção de dados.

12.

Vários agentes estão envolvidos na recolha e divulgação da informação sobre os efeitos prejudiciais dos medicamentos na União Europeia. A nível nacional, os dois principais agentes são os Titulares de Autorização de Introdução no Mercado (companhias que estão autorizadas a introduzir medicamentos no mercado) e as Autoridades Nacionais Competentes (autoridades responsáveis pela autorização de mercado). As Autoridades Nacionais Competentes autorizam os medicamentos através de procedimentos a nível nacional, que incluem o «procedimento de reconhecimento mútuo» e o «procedimento descentralizado» (11). No que se refere aos medicamentos autorizados através do chamado «procedimento centralizado», a Comissão Europeia pode actuar também como Autoridade Competente. Outro agente importante a nível europeu é a EMEA. Uma das tarefas desta agência é assegurar a divulgação da informação sobre reacções adversas a medicamentos autorizados na Comunidade, através de uma base de dados que é a já referida base de dados EudraVigilance.

13.

A Directiva 2001/83/CE menciona, em termos gerais, a responsabilidade dos Estados-Membros em manter um sistema de farmacovigilância em que são recolhidas informação úteis em matéria de vigilância dos medicamentos (artigo 102.o). Com base nos artigos 103.o e 104.o da Directiva 2001/83/CE [ver também os artigos 23.o e 24.o do Regulamento (CE) n.o 726/2004], os Titulares de Autorização de Introdução no Mercado devem ter montado o seu próprio sistema de farmacovigilância a fim de assumirem a responsabilidade pelos medicamentos que introduzem no mercado e assegurarem que as medidas adequadas sejam tomadas quando necessário. A informação é recolhida directamente dos profissionais de saúde e dos doentes. Todas as informações relevantes para o balanço risco-benefício de um medicamento têm de ser comunicadas por via electrónica pelo Titular de Autorização de Introdução no Mercado à Autoridade Competente.

14.

A Directiva 2001/83/CE propriamente dita não é muito precisa acerca do tipo de informação sobre reacções adversas que deve ser recolhida a nível nacional, a forma como deve ser armazenada ou como deve ser comunicada. Os artigos 104.o e 106.o só se referem às «comunicações» que têm de ser elaboradas. Nas directrizes emitidas pela Comissão após consulta da EMEA, dos Estados-Membros e das partes interessadas, podem ser encontradas regras mais pormenorizadas sobre estas comunicações. Nestas directrizes sobre farmacovigilância de medicamentos para uso humano (adiante designadas por «directrizes») é feita referência às chamadas «notificações de segurança sobre casos individuais» (adiante: ICSR), que são comunicações dos efeitos prejudiciais dos medicamentos relativamente a um doente específico (12). Decorre das directrizes que um dos elementos da informação mínima exigida pelo ICSR é «um doente identificável» (13). É indicado que o doente pode ser identificado pelas iniciais, pelo número de doente, data de nascimento, peso, altura e sexo, número de registo hospitalar, informação sobre a história clínica do doente, informação sobre os progenitores do doente (14).

15.

Ao salientar a identificabilidade do doente, o tratamento da informação faz claramente parte do âmbito das regras de protecção de dados estabelecidas na Directiva 95/46/CE. Na verdade, embora o doente não seja nomeado, é possível, juntando as diversas informações (p. ex., hospital, data de nascimento, iniciais) e em condições específicas (p. ex., em comunidades fechadas ou em terras pequenas) identificá-lo. Por conseguinte, a informação tratada no contexto da farmacovigilância deve, em princípio, ser considerada como relativa a uma pessoa física identificável na acepção da alínea a) do artigo 2.o da Directiva 95/46/CE (15). Embora isto não esteja claro nem no regulamento nem na directiva, é reconhecido na directiva quando declara que a informação deve ser tão completa quanto possível, atendendo à legislação comunitária sobre protecção de dados (16).

16.

É preciso salientar que, apesar das directrizes, a comunicação de efeitos prejudiciais a nível nacional está longe de ser uniforme. Isto será discutido mais à frente nos pontos 24 e 25.

17.

A base de dados EudraVigilance, mantida pela EMEA, desempenha um papel essencial no sistema de farmacovigilância da UE. Como já foi dito, a EudraVigilance é uma rede de tratamento de dados centralizada e um sistema de gestão dos dados centralizado relativos à comunicação e avaliação de reacções adversas suspeitas tanto durante o desenvolvimento de autorizações de introdução de medicamentos no mercado como depois dessa introdução na Comunidade Europeia e nos países que fazem parte do Espaço Económico Europeu. O fundamento jurídico da base de dados EudraVigilance pode ser encontrado na alínea d) do n.o 1 do artigo 57.o do Regulamento (CE) n.o 726/2004.

18.

A actual base de dados EudraVigilance consiste em dois compartimentos, nomeadamente: 1. a informação resultante dos ensaios clínicos (realizados antes da colocação do medicamento no mercado, ou seja, no período de préautorização), e 2. a informação proveniente da comunicação de reacções adversas (recolhidas depois, por conseguinte, no período pós-autorização). O presente parecer centra-se no período pós-autorização, uma vez que as alterações propostas dizem respeito a esta parte.

19.

A base de dados EudraVigilance contém dados sobre doentes provenientes de ISCR. As Autoridades Nacionais Competentes enviam ISCR à EMEA [ver artigo 102.o da Directiva 2001/83/CE e artigo 22.o do Regulamento (CE) n.o 726/2004] e, em alguns casos, os Titulares de Autorização de Introdução no Mercado fazem-no também directamente [ver artigo 104.o da Directiva 2001/83/CE e artigo 24.o do Regulamento (CE) n.o 726/2004].

20.

A ênfase do presente parecer é colocada no tratamento da informação pessoal acerca dos doentes. No entanto, é de notar que a base de dados EudraVigilance contém também informações pessoais acerca das pessoas que trabalham para a Autoridade Nacional Competente ou para os Titulares de Autorização de Introdução no Mercado quando estes comunicam as informações às bases de dados. O nome completo, o endereço, os contactos, os elementos dos documentos de identificação dessas pessoas constam do sistema. Outra categoria de informações pessoais são os dados sobre as chamadas pessoas qualificadas responsáveis pela farmacovigilância, que são nomeadas pelos Titulares de Autorização de Introdução no Mercado de acordo com o artigo 103.o da Directiva 2001/83/CE. Obviamente, os direitos e obrigações decorrentes do Regulamento (CE) n.o 45/2001 aplicam-se plenamente ao tratamento destas informações.

21.

A alínea d) do n.o 1 do artigo 57.o do Regulamento (CE) n.o 726/2004 determina que a base de dados deveria ser permanentemente acessível a todos os Estados-Membros. Os profissionais de saúde, os Titulares de Autorização de Introdução no Mercado e o público devem ainda dispor de níveis de acesso apropriados a esta base de dados, com a garantia da protecção dos dados de carácter pessoal. Como dito anteriormente no ponto 7, esta é a única disposição, tanto no regulamento como na Directiva 2001/83/CE, que faz referência à protecção de dados.

22.

A alínea d) do n.o 1 do artigo 57.o conduziu ao seguinte regime de acesso. Logo que a EMEA recebe ICSR, a informação é directamente introduzida na plataforma EudraVigilance, que é plenamente acessível à EMEA, às Autoridades Nacionais Competentes e à Comissão. Depois de a informação ICSR ter sido validada (verificada quanto à autenticidade e singularidade), pela EMEA, a informação é transferida para a base de dados propriamente dita. Tanto a EMEA como as Autoridades Nacionais Competentes e a Comissão têm pleno acesso à base de dados, enquanto os Titulares de Autorização de Introdução no Mercado só têm acesso à base de dados sob determinadas condições, ou seja, acesso apenas aos dados que eles próprios comunicaram à EMEA. A informação agregada proveniente de ICSR é finalmente colocada na página web da EudraVigilance a que tem acesso o público em geral, incluindo profissionais de saúde.

23.

Em 19 de Dezembro de 2008, a EMEA publicou um projecto de política de acesso na sua página web para consulta pública (17). O documento mostra como a EMEA tenciona aplicar a alínea d) do n.o 1 do artigo 57.o do Regulamento (CE) n.o 762/2004. A AEPD voltará a esta questão a partir do ponto 48 adiante.

24.

A Avaliação do Impacto da Comissão aponta um certo número de pontos fracos no actual regime comunitário de farmacovigilância, que é considerado complexo e pouco claro. A complicação do sistema de recolha, armazenamento e partilha de dados pelos diversos agentes a nível nacional e europeu é apresentado como uma das principais deficiências. Esta situação é ainda mais complicada pelo facto de existirem disparidades na forma como a Directiva 2001/83/CE é aplicada pelos Estados-Membros (18). Por conseguinte, tanto as Autoridades Nacionais Competentes como a EMEA são frequentemente confrontadas com comunicações de casos de reacções adversas aos medicamentos incompletas ou duplicadas (19).

25.

Isto deve-se ao facto de, embora ser facultada uma descrição do conteúdo ICSR nas directrizes anteriormente mencionadas, é deixada ao critério dos Estados-Membros a decisão sobre a forma como estas comunicações são feitas a nível nacional. Isto inclui tanto os meios de comunicação utilizados nas comunicações dos Titulares de Autorização de Introdução no Mercado às Autoridades Nacionais Competentes como às informações efectivamente incluídas nos relatórios (não são utilizados formulários normalizados para a comunicação de informações na Europa). Além disso, algumas das Autoridades Nacionais Competentes poderão aplicar critérios de qualidade específicos à admissibilidade dos relatórios (consoante o seu conteúdo, quantidade de informação, etc.), enquanto que em outros países poderá não ser o caso. É óbvio que a abordagem utilizada a nível nacional para a comunicação de informações e a avaliação qualitativa do ICRS tem um impacto directo na forma como as informações são comunicadas à EMEA, por exemplo, na base de dados EudraVigilance.

26.

A AEPD gostaria de salientar que as deficiências atrás apontadas não só causam inconvenientes práticos como também constituem uma considerável ameaça à protecção dos dados relativos à saúde dos cidadãos. Embora, tal como se indicou nos pontos anteriores, o tratamento dos dados relativos à saúde se realiza em várias fases do processos da operação de farmacovigilância, não existem actualmente quaisquer disposições para a protecção de tais dados. A única excepção é a referência geral à protecção de dados constante da alínea d) do n.o 1 do artigo 57.o do Regulamento (CE) n.o 726/2004, que diz respeito unicamente à última fase do tratamento de dados, nomeadamente à acessibilidade dos dados constantes da base de dados EudraVigilance. Além disso, a falta de clareza em relação aos papéis e responsabilidades dos diversos actores envolvidos no tratamento, bem como a falta de normas específicas para o tratamento propriamente dito constitui uma ameaça à confidencialidade e também à integridade e responsabilização pelos dados pessoais tratados.

27.

Por conseguinte, AEPD quer salientar que a ausência de uma análise exaustiva da protecção de dados, reflectida no quadro jurídico que constitui a base do sistema de farmacovigilância na UE deve também ser encarada como uma deficiência do actual sistema. Esta deficiência deve ser remediada através de alterações à actual legislação.

28.

Como ponto preliminar e geral, a AEPD pretende levantar aqui a questão de saber se o tratamento de dados relativos à saúde de pessoas físicas identificáveis é efectivamente necessário em todas as fases do sistema de farmacovigilância (tanto a nível nacional como a nível europeu).

29.

Tal como explicado acima, no ICSR o doente não indicado pelo seu nome e, como tal, não é identificado. No entanto, o doente pode ainda ser identificável em certos casos através da combinação de vários elementos de informação constantes do ICSR. Como decorre das directrizes em certas circunstâncias, é dado um número de doente específico, que implica que o regime, na sua totalidade, permite a rastreabilidade da pessoa envolvida. No entanto, nem a directiva nem o regulamento fazem referência à rastreabilidade da pessoa como parte do objectivo do sistema de farmacovigilância.

30.

A AEPD insta pois o legislador a esclarecer se se pretende que a rastreabilidade sirva um objectivo da farmacovigilância a vários níveis do tratamento e, mais especificamente, no âmbito da base de dados EudraVigilância.

31.

A este respeito, é instrutiva a comparação como o regime previsto para a doação e transplantação de órgãos (20). No contexto da transplantação de órgãos, a rastreabilidade de um órgão para o dador bem como para o receptor é de importância fundamental, especialmente nos casos de eventos ou reacções adversos.

32.

Todavia, no contexto da farmacovigilância, a AEPD não dispõe de indicações suficientes para concluir que a rastreabilidade é, efectivamente, sempre necessária. Farmacovigilância significa comunicar os efeitos prejudiciais de medicamentos que estão a ser usados, ou irão ser usados por (na maioria dos casos) um número desconhecido de pessoas. Existe portanto — pelo menos no período pós-autorização — uma relação menos automática e individual entre a informação sobre os efeitos prejudiciais e a pessoa em questão do que no caso da informação sobre os órgãos e os indivíduos envolvidos na transplantação de um órgão específico. É óbvio que os doentes que tenham utilizado um determinado medicamento e tenham comunicado os seus efeitos prejudiciais têm interesse em conhecer os resultados de qualquer avaliação subsequente. No entanto, isto não implica que a informação comunicada deva em todos os casos ser associada a essa pessoa específica através de todo o processo de farmacovigilância. Em muitos casos, deveria ser suficiente associar a informação sobre os efeitos prejudiciais com o próprio medicamento, o que permite aos agentes envolvidos, eventualmente através de profissionais de saúde, informarem os doentes em geral das consequências de tomarem ou terem tomado um determinado medicamento.

33.

Se apesar disso é mantida a possibilidade de rastreabilidade, a AEPD gostaria de recordar a análise que fez no seu parecer sobre a proposta da Comissão para a directiva relativa a normas de qualidade e segurança dos órgãos humanos destinados a transplantação. Neste parecer, a AEPD explicou a relação entre rastreabilidade, anonimato e confidencialidade dos dados. A identificabilidade é um termo crucial na legislação sobre a protecção de dados (21). As regras da protecção de dados aplicam-se aos dados referentes a pessoas que são identificadas ou identificáveis  (22). A rastreabilidade dos dados para uma pessoa específica pode ser entendida como identificabilidade. Na legislação da protecção de dados, o anonimato é o oposto de identificabilidade e, por conseguinte, de rastreabilidade. Só se for impossível identificar (ou retraçar) a pessoa com a qual os dados se relacionam, é que os dados são considerados anónimos. A noção de «anonimato» é, por conseguinte, diferente da forma como é normalmente entendida no dia-a-dia, nomeadamente que um indivíduo não pode ser identificado a partir dos dados enquanto tais, por exemplo, porque o seu nome foi retirado. Nestas circunstâncias, é costume referir a confidencialidade dos dados, significando que a informação só é (plenamente) acessível às pessoas autorizadas a ter acesso a ela. Enquanto que a rastreabilidade e o anonimato não podem coexistir, a rastreabilidade e a confidencialidade podem.

34.

Aparte a rastreabilidade, outra justificativa para manter os doentes identificáveis durante todo o processo de farmacovigilância poderia ser o bom funcionamento do sistema. A AEPD entende que quando a informação se refere a um indivíduo identificável e, como tal, único, é fácil para as autoridades competentes (ou seja, as Autoridades Nacionais Competentes e a EMEA) acompanhar e controlar o conteúdo de um ICSR (p. ex., verificar duplicações). Embora a AEPD veja a necessidade de tal controlo, não está convencida de que, por si só, justifique manter os dados identificáveis em todas as fases do processo de farmacovigilância e, em especial, na base de dados EudraVigilance. Através de uma melhor reestruturação e coordenação do sistema de informação, por exemplo, através de um sistema descentralizado tal como adiante discutido no ponto 42 e adiante, a duplicação pode ser evitada já a nível nacional.

35.

A AEPD reconhece que, em circunstâncias especiais, é impossível anonimizar os dados. Isto é, por exemplo, o caso de certos medicamentos usados por um número muito limitado de indivíduos. Para esses casos específicos, devem ser instauradas salvaguardas especiais para cumprir as obrigações decorrentes da legislação de protecção de dados.

36.

Para concluir, a AEPD duvida seriamente do facto de a rastreabilidade ou a utilização de dados relativos a doentes identificáveis ser necessária em cada fase do processo de farmacovigilância. A AEPD está ciente de que pode não ser possível excluir o tratamento de dados identificáveis em cada fase, especialmente a nível nacional, quando se faz a recolha da informação sobre os efeitos prejudiciais propriamente dita. No entanto, as regras de protecção de dados exigem que o tratamento de dados relativos à saúde só seja feito quando é estritamente necessário. A utilização de dados identificáveis deve por conseguinte ser reduzida o mais possível e impedida ou suspendida quando não é considerada necessária. A AEPD insta pois o legislador a voltar a analisar a necessidade de utilizar essa informação a nível europeu, bem como a nível nacional.

37.

Note-se que, nos casos em que existe uma real necessidade de processar dados identificáveis ou sempre que os dados não possam ser anonimizados (ver ponto 35 acima), deveriam ser exploradas as possibilidades técnicas de identificação indirecta dos titulares dos dados, por exemplo, através de mecanismos de pseudonimização (23).

38.

A AEPD recomenda pois que se introduza no Regulamento (CE) n.o 726/2004 e na Directiva 2001/83/CE um novo artigo que determine que o disposto no Regulamento (CE) n.o 726/2004 e na Directiva 2001/83/CE não prejudicam os direitos e obrigações decorrentes das disposições do Regulamento (CE) n.o 45/2001 e da Directiva 95/46/CE, respectivamente, com especial referência ao artigo 10.o do Regulamento (CE) n.o 45/2001 e ao artigo 8.o da Directiva 95/46/CE, respectivamente. A isto deve ser aditado que os dados relativos à saúde que são identificáveis só serão processados quando estritamente necessário, e as partes envolvidas devem avaliar essa necessidade em cada uma das fases do processo de farmacovigilância.

39.

Embora a protecção de dados mal seja tomada em consideração nas alterações propostas, uma análise mais pormenorizada continua a ser instrutiva uma vez que demonstra que as alterações consideradas reduzem o impacto e os subsequentes riscos para a protecção de dados.

40.

A intenção geral das duas propostas é melhorar a coerência das regras, introduzir clareza quanto às responsabilidades, simplificar o regime de comunicação da informação e reforçar a base de dados EudraVigilance (24).

41.

É óbvio que a Comissão procurou melhorar a clareza quanto às responsabilidades através da alteração das disposições em vigor, de forma a que a legislação propriamente dita seja explícita sobre quem deve fazer o quê. Certo que introduzir clareza quanto aos agentes envolvidos e às respectivas obrigações no que se refere à comunicação de efeitos prejudiciais melhora a transparência do regime e, por conseguinte, é uma evolução positiva também do ponto de vista da protecção de dados. Em termos gerais, os doentes devem poder compreender, a partir da legislação, como, quando e por quem os seus dados pessoais estão a ser tratados. No entanto, a clareza proposta em matéria de obrigações e responsabilidades deveria também ser relacionada, de um modo explícito, com as obrigações e responsabilidades decorrentes da legislação sobre a protecção de dados.

42.

A simplificação do regime de informação deve ser alcançada através da utilização de portais informáticos de segurança dos medicamentos a nível nacional, ligados ao portal informático de segurança dos medicamentos a nível europeu [ver a recente proposta de artigo 106.o da Directiva 2001/83/CE e de artigo 26.o do Regulamento (CE) n.o 726/2004]. Os portais informáticos nacionais incluirão formulários disponibilizados ao público para comunicação de suspeitas de reacções adversas, por parte de profissionais de saúde e doentes [ver a recente proposta de n.o 3 do artigo 106.o da Directiva 2001/83/CE e de artigo 25.o do Regulamento (CE) n.o 726/2004]. Também o portal informático europeu incluirá informação sobre a forma de comunicar a informação, incluindo formulários normalizados para a comunicação da informação por via informática pelos doentes e profissionais de saúde.

43.

A AEPD pretende salientar que, embora a utilização desses portais e formulários normalizados melhore a eficácia do regime de informação, aumenta ao mesmo tempo o risco do regime em matéria de protecção de dados. A AEPD insta o legislador a sujeitar o desenvolvimento de tal regime de informação aos requisitos da legislação em matéria de protecção de dados. Isto implica, como já foi indicado, que a necessidade de tratamento de dados pessoais deve ser correctamente avaliada relativamente a cada fase do processo. Isto deve reflectir-se na forma como a comunicação da informação é organizada a nível nacional, bem como a comunicação da informação à EMEA e à base de dados EudraVigilance. Num sentido mais lato, a AEPD recomenda vivamente que sejam desenvolvidos formulários uniformes a nível nacional, o que impediria que surgissem práticas divergentes conducentes a vários níveis de protecção de dados.

44.

O regime proposto parece implicar que os doentes podem informar directamente a EMEA, ou talvez directamente a própria base de dados EudraVigilance. Isto significaria que, na actual aplicação da base de dados da EudraVigilance, a informação será colocada no portal EMEA que, como foi explicado atrás nos pontos 2122, é plenamente acessível à Comissão e às autoridades competentes.

45.

Em termos gerais, a AEPD defende com vigor um regime de informação descentralizado. A comunicação para o portal informático europeu deve ser coordenado através da utilização de portais informáticos nacionais, sob a responsabilidade das Autoridades Nacionais Competentes. A comunicação indirecta pelos doentes, por exemplo, através de profissionais de saúde, (através da utilização de portais informáticos ou não) deveria também ser usada em vez da possibilidade de comunicação directa pelos doentes, especialmente para base de dados EudraVigilance.

46.

Um sistema de comunicação da informação através de portais informáticos exige, de qualquer forma, regras estritas de segurança. A esse respeito, a AEPD gostaria de remeter para o seu parecer atrás referido sobre a proposta de directiva relativa aos cuidados de saúde transfronteiriços, especialmente a parte relativa à segurança dos dados nos Estados-Membros e à privacidade nas aplicações de saúde em linha (25). Neste parecer, a AEPD já salientou que a privacidade e a segurança deviam fazer parte da concepção e implementação de qualquer aplicação de saúde em linha («privacidade na concepção») (26). O mesmo se aplica aos portais informáticos em apreço.

47.

A AEPD recomendaria pois que se incluísse na proposta de novos artigos 25.o e 26.o do Regulamento (CE) n.o 726/2004 e 106.o da Directiva 2001/83/CE, que tratam do desenvolvimento de um sistema de comunicação de efeitos prejudiciais através de portais informáticos, uma obrigação de incorporar medidas correctas de privacidade e segurança. Os princípios da confidencialidade, integridade, responsabilização e disponibilidade dos dados podiam também ser mencionados como os principais objectivos em matéria de segurança, que deveriam ser garantidos ao mesmo nível em todos os Estados-Membros. Pode ser ainda acrescentada a utilização de normas e meios técnicos apropriados, tal como cifragem e assinatura digital reconhecida.

48.

O proposto artigo 24.o do Regulamento (CE) n.o 726/2004 trata da base de dados EudraVigilance. O artigo esclarece que o reforço da base de dados implica um maior uso da mesma pelas diversas partes envolvidas, em termos de dar e ter acesso à base de dados. Dois números do artigo 24.o são de particular interesse.

49.

O n.o 2 do artigo 24.o diz respeito à acessibilidade da base de dados. Substitui a actual alínea d) do n.o 1 do artigo 57.o do Regulamento (CE) n.o 729/2004, que já foi discutida antes como sendo a única disposição que actualmente se refere à protecção de dados. A referência à protecção de dados mantém-se, mas o número de agentes a ela sujeitos é reduzido. Enquanto o actual texto indica que deverão ser dados níveis adequados de acesso à base de dados aos profissionais de saúde, aos Titulares de Autorização de Introdução no Mercado e ao público, com protecção de dados pessoais, a Comissão propõe agora transferir os Titulares de Autorização de Introdução no Mercado desta lista e darl-hes acesso «na medida do necessário para poderem cumprir as suas obrigações de farmacovigilância», sem qualquer referência à protecção de dados. As razões para isto não são claras.

50.

O terceiro número do artigo 24.o estabelece ainda as regras de acesso ao ICSR. O acesso pode ser solicitado pelo público e será concedido no prazo de 90 dias «a menos que tal comprometa o anonimato dos sujeitos das comunicações». A AEPD apoia a ideia subjacente a esta disposição, nomeadamente que só dados anónimos podem ser disponibilizados. No entanto, a AEPD gostaria de salientar, tal como anteriormente explicado, que o anonimato deve ser entendido como a completa impossibilidade de identificar a pessoa que comunicou os efeitos prejudiciais (ver também o ponto 33).

51.

A acessibilidade do sistema EudraVigilance deveria, em geral, voltar a ser avaliada à luz das regras de protecção de dados. Isto tem igualmente consequências directas para o projecto de política de acesso publicado pela EMEA em Dezembro de 2008, mencionado atrás no ponto 23 (27). Na medida em que a informação constante da base de dados EudraVigilance se relaciona necessariamente com pessoas físicas identificáveis, o acesso a esses dados deve ser tão restritivo quanto possível.

52.

A AEPD recomenda pois a inclusão no proposto n.o 2 do artigo 24.o do Regulamento (CE) n.o 726/2004 de uma frase que explicite que a base de dados EudraVigilance será regulamentada em conformidade com os direitos e obrigações decorrentes da legislação comunitária em matéria de protecção de dados.

53.

A AEPD gostaria de salientar que, uma vez tratados os dados identificáveis, a parte responsável por tal tratamento deveria cumprir todos os requisitos da legislação comunitária em matéria de protecção de dados. Isto implica, nomeadamente, que a pessoa em causa é bem informada do destino que será dado aos seus dados e quem os tratará, além de qualquer outra informação adicional requerida com base no artigo 11.o do Regulamento (CE) n.o 45/2001 e/ou no artigo 10.o da Directiva 95/46/CE. A pessoa em questão deverá além disso poder invocar o seu direito de acesso [artigo 12.o da Directiva 95/46/CE e artigo 13.o do Regulamento (CE) n.o 45/2001], o direito a levantar objecções [artigo 18.o do Regulamento (CE) n.o 45/2001 e artigo 14.o da Directiva 95/46/CE], etc.

54.

A AEPD recomendaria pois que fosse aditado ao proposto artigo 101.o da Directiva 2001/83/CE um número que explicitasse que, em caso de tratamento de dados pessoais, o indivíduo deve do facto ser correctamente informado em conformidade com o artigo 10.o da Directiva 95/46/CE.

55.

A questão do acesso à informação que diz respeito ao próprio, constante da base de dados EudraVigilance não é tratada na legislação actual e proposta. Importa salientar que, nos casos em que é considerado necessário manter dados pessoais na base de dados, como acabámos de dizer, o doente em questão deveria poder invocar o seu direito a aceder aos seus próprios dados em conformidade com o artigo 13.o do Regulamento (CE) n.o 45/2001. A AEPD poderia pois recomendar o aditamento de um número ao proposto artigo 24.o explicitando que serão tomadas medidas que garantam que os titulares dos dados podem exercer o seu direito de acesso aos dados pessoais que lhe dizem respeito, nos termos do artigo 13.o do Regulamento (CE) n.o 45/2001.

56.

A AEPD é de opinião que a falta de uma correcta avaliação das implicações em matéria de protecção de dados na farmacovigilância constitui uma das deficiências do actual quadro jurídico constituído pelo Regulamento (CE) n.o 726/2004 e pela Directiva 2001/83/CE. A actual alteração a este regulamento e a esta directiva deve ser vista como uma oportunidade para introduzir a protecção de dados como um elemento importante e de pleno direito na farmacovigilância.

57.

Uma questão geral que deve ser tratada é a verdadeira necessidade de tratamento de dados pessoais relativos à saúde em todas as fases do processo de farmacovigilância. Como já foi dito neste parecer, a AEPD duvida seriamente desta necessidade e insta o legislador a voltar a avaliá-la nos diversos níveis do processo. É muito claro que o objectivo da farmacovigilância pode, em muitos casos, ser alcançado através da partilha de informações sobre os efeitos prejudiciais de uma forma anónima na acepção da legislação da protecção de dados. A duplicação da comunicação de informações pode ser evitada através de procedimentos de comunicação de dados bem estruturados já a nível nacional.

58.

As alterações propostas têm por objectivo um regime de comunicação da informação simplificado e um reforço da base de dados EudraVigilance. A AEPD explicou que estas alterações conduzem a maiores riscos para a protecção de dados, especialmente quando envolvem a comunicação directa de informações pelos doentes para a EMEA ou para a base de dados EudraVigilance. Neste contexto, a AEPD defende vivamente um regime de comunicação de informação indirecta descentralizado segundo o qual a comunicação para o portal informático europeu é coordenado através da utilização dos portais informáticos nacionais. A AEPD sublinha ainda que a privacidade e a segurança devem fazer parte da concepção e da implementação de um regime de comunicação da informação através da utilização de portais informáticos («privacidade na concepção»).

59.

A AEPD salienta ainda que, uma vez que os dados relativos à saúde de pessoas físicas identificadas ou identificáveis são tratados, a pessoa responsável pelo tratamento deve cumprir os requisitos da legislação comunitária em matéria de protecção de dados.

60.

Mais especificamente, a AEPD recomenda: