ensaio CLÍNICO.PT
Solicitar proposta

Início · Proteção de Dados · Contratos do Art. 28. entre promotor e centro

PILAR 2 · PROTEÇÃO DE DADOS EM ENSAIOS CLÍNICOS

Qualificação jurídica e contratos do Art. 28. entre promotor e centro

A correta qualificação de cada entidade envolvida num ensaio clínico como responsável pelo tratamento, contitular ou subcontratante é condição prévia à celebração dos contratos exigidos pelo RGPD. O promotor, o centro investigador e a CRO (Contract Research Organization / organização de investigação por contrato) exercem papéis distintos que determinam obrigações e responsabilidades diferentes.

Quem é responsável pelo tratamento num ensaio clínico

O Art. 4.º n.º 7) RGPD define responsável pelo tratamento como a entidade que determina as finalidades e os meios do tratamento. Em regra, o promotor — que define o protocolo, determina os dados a recolher e fixa os procedimentos — é o responsável principal pelo tratamento. O centro investigador pode ser qualificado como responsável conjunto (Art. 26.º RGPD) quando exerce poder autónomo de determinação sobre certas operações de tratamento, como a conservação dos dados clínicos para fins de seguimento dos participantes ou para cumprimento de obrigações deontológicas próprias. Esta qualificação é fatual e não pode ser alterada por mera cláusula contratual.

A CRO como subcontratante

A CRO atua tipicamente como subcontratante (Art. 4.º n.º 8) RGPD) quando trata dados por conta e segundo as instruções do promotor — por exemplo, na gestão da base de dados clínicos, na monitorização dos centros ou na análise estatística. O contrato de subcontratação, celebrado nos termos do Art. 28.º RGPD, é obrigatório e deve conter o conjunto de cláusulas exigido por essa disposição. O promotor não pode recorrer a uma CRO que não ofeça garantias suficientes de conformidade com o RGPD.

Cláusulas obrigatórias do contrato Art. 28.

O contrato de subcontratação entre promotor e CRO deve, nos termos do Art. 28.º n.º 3 RGPD, estipular expressamente: o objeto, a duração, a natureza e a finalidade do tratamento; o tipo de dados pessoais e as categorias de titulares; as obrigações e os direitos do responsável. Deve ainda incluir obrigações de confidencialidade, de segurança, de assistência ao responsável no exercício dos direitos dos titulares, de eliminação ou devolução dos dados no termo do contrato e de disponibilização de informações para auditoria.

Responsabilidade conjunta entre promotor e centro

Quando promotor e centro investigador são qualificados como contitulares ao abrigo do Art. 26.º RGPD, devem celebrar um acordo de contitularidade que determine, de forma transparente, as responsabilidades de cada parte pelo cumprimento das obrigações do RGPD. O essencial do acordo deve ser disponibilizado aos participantes. Esta configuração é particularmente relevante em ensaios académicos sem promotor comercial, onde o centro pode ser o único responsável.

  • Responsável pelo tratamento: Art. 4.º n.º 7) RGPD — quem determina finalidades e meios;
  • Contitulares: Art. 26.º RGPD — acordo de responsabilidade obrigatório;
  • Subcontratante (CRO): Art. 28.º RGPD — contrato Art. 28. obrigatório;
  • Cláusulas obrigatórias do contrato de subcontratação (Art. 28.º n.º 3 RGPD);
  • Proibição de subcontratação sem autorização escrita do responsável;
  • Auditorias e inspeções como direito contratual do promotor sobre a CRO.
Referências normativas essenciaisArt. 28.º RGPDArt. 26.º RGPDArt. 4.º n.º 7) RGPDArt. 4.º n.º 8) RGPDRGPD

Obrigações contratuais em matéria de proteção de dados

Necessita de um Trial Data Protection Officer?

O TDPO (Trial Data Protection Officer) assegura a articulação entre o Regulamento (UE) 536/2014 e o RGPD em cada fase do ensaio clínico — da autorização ao arquivo.

Conhecer o TDPO Solicitar proposta