Introducción: A medida que aumenta la movilidad de los datos en los ensayos clínicos, también aumentan los riesgos legales

Investigación clínica moderna:

• Se está llevando a cabo de forma multicéntrica

• Los datos se están transfiriendo a diferentes países

• Es procesado por CROs globales

• almacenados en infraestructuras en la nube,

• Se envía a sistemas de análisis basados ​​en inteligencia artificial.

Durante este proceso, los datos personales de salud circulan internacionalmente.
En Turquía, la protección de estos datos Ley de Protección de Datos Personales (KVKK), en los países de la UE por el RGPDy en las relaciones multilaterales por Ley de Derecho Internacional Privado (MÖHUK ).

Las preguntas básicas son:

➡️ ¿Se pueden transferir datos de investigación clínica al extranjero?
➡️ ¿Qué condiciones se requieren para la transferencia?
➡️ ¿Qué régimen jurídico se aplica a la transferencia de datos con países no pertenecientes a la UE?
➡️ ¿Puede un protocolo extranjero eludir las disposiciones de la Ley turca de protección de datos personales (KVKK)?

Este artículo detalla el marco legal para la transferencia internacional de datos clínicos a partir de 2025.

---

1. Los datos de investigación clínica son "Datos Personales de Categoría Especial"

Según el artículo 6 de la Ley de Protección de Datos Personales de Turquía:

✔ Datos de salud → son datos personales de categoría especial.

✔ El procesamiento y la transmisión están sujetos a normas muy estrictas.

✔ No puede ser tratado sin el consentimiento explícito de la persona o sin una normativa legal.

Por lo tanto, toda la información procesada en la investigación clínica:

• resultados de laboratorio,

• datos genéticos,

• resultados de imágenes,

• informes de reacciones adversas,

• códigos aleatorios

Se trata de datos de la categoría más sensible.

---

2. Requisito esencial para la transferencia de datos al extranjero: Consentimiento explícito + Medidas de seguridad

A. Se requiere consentimiento explícito.

El formulario de consentimiento informado (FCI) debe contener este consentimiento de forma clara y comprensible.

B. Deben adoptarse medidas de seguridad técnicas y administrativas.

Según lo determinado por el Comité de Protección de Datos Personales:

• cifrado,

• restricción de acceso,

• registro de log,

• minimización de datos,

• seguridad de almacenamiento

Es obligatorio.

C. El país receptor en el extranjero debe contar con un nivel de seguridad adecuado.

Los países de la UE se consideran seguros según el RGPD; sin embargo, para EE. UU. y los países asiáticos:

✔ Acuerdo de transferencia de datos

✔ Acuerdos adicionales (Anexo de transferencia de datos)

✔ Notificación a la Junta Directiva

Puede ser necesario.

---

3. El problema de compatibilidad entre el RGPD y la KVKK (Ley turca de protección de datos personales)

RGPD para el tratamiento de datos en ensayos clínicos:

• Exención de investigación

• Interés público

• Base legal para el estudio científico

Establece fundamentos legales amplios como estos.

La Ley de Protección de Datos Personales (KVKK) es mucho más estricta:

❗ Consentimiento explícito + condiciones para el tratamiento de categorías especiales de datos (Artículo 6)

Debido a esta incompatibilidad, las disposiciones sobre transferencia de datos en los protocolos de los patrocinadores con sede en la UE inválidas o incompletas .

---

4. ¿Cómo afecta la Ley de Derecho Internacional Privado a este proceso?

Según el artículo 5 de la Ley de Derecho Internacional Privado:

✔ Las normas perentorias (lex fori) tienen precedencia sobre el derecho extranjero.

✔ El orden público turco no puede ser violado.

Porque:

➡️ Un protocolo que cumpla con el RGPD no puede implementarse en Turquía si infringe la Ley turca de protección de datos personales (KVKK).
➡️ Los requisitos de jurisdicción extranjera en materia de transferencia de datos no son válidos.
➡️ La legislación turca debe aplicarse a los asuntos relacionados con la transferencia de datos personales.

---

5. Infracciones más comunes en la transferencia de datos en ensayos clínicos

❌ La transferencia de datos no está especificada explícitamente en ICF

❌ No se debe firmar ningún contrato con Global CRO

❌ El alcance de la transferencia de datos no está claro

❌ La idea errónea de que "los datos anonimizados no son datos personales"

❌ Almacenamiento realizado fuera de Turquía y no informarlo

❌ Uso de servicios en la nube por parte del patrocinador en países no autorizados

❌ Transferencia no autorizada de datos genéticos

Estas infracciones conllevan multas administrativas muy severas.

---

6. ¿Qué documentos se requieren para la transferencia?

✔ Cláusula clara e inequívoca sobre la transferencia de datos en el Marco Internacional de Comunicación de Partes (MIC) en turco

✔ Acuerdo de procesamiento de datos (APD)

✔ Acuerdo de transferencia internacional de datos

✔ Lista de medidas técnicas y administrativas

✔ Informe de evaluación de riesgos

✔ Política de destrucción de datos

✔ Sistemas de notificación de eventos adversos a TİTCK (Agencia Turca de Medicamentos y Dispositivos Médicos)

✔ Aprobación del comité de ética

El comité de ética examina detalladamente las cláusulas de transferencia de datos.

---

7. La transferencia de datos fuera de la UE está sujeta a normas más estrictas

Estados Unidos, Canadá, Suiza y Corea tienen diferentes niveles de seguridad.

Por lo tanto, las transferencias a países no pertenecientes a la UE:

✔ Cláusulas Contractuales Estándar (CCE)

✔ Medidas de seguridad adicionales

✔ Minimización de datos

✔ Pseudonimización

✔ Análisis de riesgos

Está sujeto a condiciones adicionales como las siguientes.

---

8. ¿Son realmente anónimos los “datos anonimizados”?

En Turquía y según el RGPD, para que los datos se consideren "anónimos":

✔ Debe ser irreversible

✔ No debe utilizarse solo ni en combinación con otros datos para identificar a una persona

Sin embargo, en los ensayos clínicos:

• datos codificados (datos seudonimizados),

• tablas de referencias cruzadas,

• códigos aleatorios

Lo hace accesible a la persona.

Porque:

➡️ Los datos codificados conservan su condición de datos personales y están sujetos a las normas de transmisión.

---

9. Consecuencias legales de las violaciones de la transmisión de datos

✔ Multas administrativas en virtud de la Ley de Protección de Datos Personales (KVKK)

✔ Cancelación de la aprobación del comité de ética

✔ Suspensión del ensayo clínico

✔ Compensación contra el patrocinador-CRO

✔ Sanciones del Ministerio de Salud

✔ Indemnización por daños no pecuniarios a los titulares de los datos

✔ Responsabilidad legal del patrocinador extranjero en Turquía

Estos resultados pueden generar importantes pérdidas financieras para las empresas.

---

10. Conclusión: La transferencia de datos en ensayos clínicos es una de las áreas más estrictamente protegidas en Turquía

Según el plan de 2025:

• Se requiere el consentimiento explícito y medidas de seguridad técnica para la transferencia de datos clínicos

• El cumplimiento del RGPD no implica el cumplimiento de la KVKK

• Los protocolos extranjeros no pueden eludir las reglas de transferencia de datos

• La Ley de Derecho Internacional Privado garantiza la supremacía del derecho turco gracias a sus disposiciones imperativas

• Los procesos de transferencia de datos al extranjero deben estar respaldados por documentación detallada

• El comité de ética y el Ministerio de Salud supervisan meticulosamente la transferencia de datos

Por lo tanto, la transferencia de datos en los ensayos clínicos es una de las áreas más críticas de la gestión del riesgo legal para las empresas.