Menos barreras, mismas garantías

El 10 de marzo de 2026, el Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) adoptaron el Dictamen Conjunto 3/2026 sobre la propuesta de Reglamento Europeo de Biotecnología (Biotech Act), publicada por la Comisión Europea el 16 de diciembre de 2025. En este Dictamen no vinculante, ambas autoridades se pronuncian, entre otras cuestiones, sobre las modificaciones al Reglamento Europeo de Ensayos Clínicos que la Biotech Act propone. Sin entrar en el detalle de todas las consideraciones del Dictamen, me gustaría detenerme en tres puntos de especial relevancia para la investigación biomédica en la UE.

En primer lugar, el Dictamen apoya la armonización de la base legal para el tratamiento de datos personales en ensayos clínicos en toda la UE, anclándola en el cumplimiento de las obligaciones legales de promotores e investigadores. Hasta ahora, cada país aplicaba un criterio distinto, lo que generaba una disparidad poco deseable en ensayos multinacionales. En España, el criterio de la AEPD recogido en el Código de Conducta de Farmaindustria ya se alinea con esta propuesta, al establecer que los promotores tratan datos en cumplimiento de una obligación legal para garantizar la calidad y seguridad de los medicamentos.

En segundo lugar, el Dictamen aborda el uso secundario de los datos previsto en la Biotech Act. El EDPB y el EDPS entienden que su objetivo es proporcionar una base jurídica europea para dicho uso, y recomiendan aclarar que esa base legal sería el interés público. Eso sí, advierten de que deben aplicarse medidas técnicas y organizativas, como la seudonimización y las obligaciones de confidencialidad. Cabe recordar que en España ya contamos con un régimen específico para el uso secundario de datos personales en investigación, establecido en la Disposición Adicional 17ª de la Ley Orgánica de Protección de Datos, que exige garantías reforzadas para el uso de datos de salud con fines distintos a los del ensayo inicial.

En tercer lugar, el Dictamen analiza la creación de los entornos de pruebas controlados (regulatory sandboxes) y el uso de la IA en ensayos clínicos. Sobre los primeros, el EDPB y el EDPS advierten que no caben adaptaciones que diluyan las exigencias del Reglamento Europeo de Protección de Datos (RGPD), cuya plena vigencia se mantiene. En cuanto a la IA, señalan que su uso en ensayos clínicos puede tener consecuencias significativas para los participantes, y recomiendan que el EDPB participe en la elaboración de las guías que la EMA deberá desarrollar en materia de protección de datos.

Queda por delante la tramitación legislativa de la Biotech Act, por lo que habrá que seguir de cerca en qué medida este Dictamen acaba dejando huella en el texto final. En todo caso, es muy positivo que las autoridades europeas de protección de datos apoyen el objetivo de armonizar cómo promotores, centros e investigadores deben tratar los datos personales en ensayos clínicos en la UE, sin rebajar las exigencias del RGPD. El mensaje es claro: menos barreras, mismas garantías.