מועצת הרשויות הלאומיות להגנת מידע במדינות האיחוד האירופי (EDPB) והמפקח על הגנת המידע במוסדות האיחוד האירופי (EDPS) פרסמו חוות דעת משותפת בנוגע להצעת הנציבות האירופית לחוק הביוטק האירופי — רגולציה שנועדה לחזק את ענפי הביולוגיה והביוטכנולוגיה של האיחוד, בדגש על תחום הבריאות וניסויים קליניים.
שני הגופים מברכים על ההצעה של הנציבות – הפחתת הפיצול הרגולטורי, קידום חדשנות אחראית ושיפור התחרותיות האירופית – אך מדגישים כי פישוט נהלים לא יכול לבוא על חשבון הגנת המידע האישי, בפרט נוכח הרגישות הגבוהה של הנתונים הרפואיים והגנטיים המעורבים בניסויים קליניים.
אחד החידושים המרכזיים בהצעה של הנציבות הוא איחוד הבסיס המשפטי לעיבוד מידע אישי בניסויים קליניים. כיום, כל מדינת חבר מפרשת ומיישמת את כללי הגנת המידע באופן שונה, מה שיוצר חוסר וודאות משפטית לחברות התרופות ולחוקרים. שני הרגולטורים תומכים בהצעה לקבוע בסיס אחיד תחת ה-GDPR עבור כל נותני החסות (Sponsors) והחוקרים (Investigators). יחד עם זאת, הם קוראים להבהיר את התפקידים — מי הוא בעל שליטה עצמאי במידע ומי בעל שליטה בצוותא. בנוסף, כאשר מספר גורמים מממנים ניסוי במשותף, יש להגדיר אותם מפורשות כבעלי שליטה בצוותא.
בנוגע לתקופת שמירת נתונים, ההצעה של הנציבות קובעת מינימום של 25 שנה — אולם חוות הדעת קוראת להגביל תקופה זו אך ורק לנתונים הכלולים בקובץ המאסטר של הניסוי הקליני, ולא להחילה על כלל המידע האישי שנאספו במסגרתו. לפי עמדת הרגולטורים, חשיבות האבחנה היא שהחלה גורפת עלולה להוביל לשמירת מידע אישי רגיש הרבה מעבר לנדרש.
נושא נוסף במוקד חוות הדעת הוא עיבוד מידע אישי לאחר שממשתף הניסוי מושך את הסכמתו. ההצעה של הנציבות מסירה את הסעיף הנוכחי המגן על חוקרים שהסתמכו על הסכמה שבוטלה לאחר מכן. הרגולטורים קוראים לקבוע מחדש באופן מפורש תנאים ברורים לפיהם ניתן להמשיך להשתמש במידע שנאסף לפני ביטול ההסכמה, תוך הגנה על זכויות המשתתפים.
ההצעה של הנציבות מחדשת גם בכך שהיא מחייבת את נותני החסות לניסוי להעריך את הסיכונים שבשימוש במערכות בינה מלאכותית בניסויים קליניים ולתאר אותן בפרוטוקול הניסוי. הרגולטורים מברכים על הצעד, שכן שימוש בבינה מלאכותית עלול להכניס הטיות מגדריות ואחרות, ולהוביל לאבחנות שגויות או לבחירת משתתפים לקויה. אולם חוות הדעת מדגישה כי יש להבהיר מפורשות שחובות אלה חלות בנוסף — ולא במקום — לחובות הנובעות מחוק הבינה המלאכותית האירופי, שכן קיימת סכנה אמיתית לחפיפות ולפערים רגולטוריים. בנוסף, הרגולטורים מציעים לחייב את סוכנות התרופות האירופית (EMA) להתייעץ עם ה-EDPB בעת פיתוח הנחיות מקצועיות בתחום זה, על מנת להבטיח עקביות עם דיני הגנת המידע.
ההצעה של הנציבות מציגה מנגנון חדשני של "ארגזי חול" רגולטוריים — סביבות ניסוי מבוקרות המאפשרות פיתוח מוצרים ביוטכנולוגיים חדשניים בתנאים מוגנים, עם גמישות מסוימת ביחס לדרישות הרגולטוריות הרגילות. הרגולטורים מזכירים כי ה-GDPR יחול במלואו בכל מקרה שבו נעשה עיבוד של מידע אישי במסגרת ארגזי החול, ולא ניתן לסטות מהוראותיו ללא קביעת חריגים מפורשים. מסיבה זו הרגולטורים מציעים לקבוע מראש בכל תכנית ארגז חול: בסיס משפטי ברור לעיבוד מידע אישי, קטגוריות המידע האישי המותרות לעיבוד, ואמצעי הגנה מתאימים. בהיעדר הגדרות אלה, עלולה להיווצר אי-וודאות משפטית שתפגע הן בחוקרים והן בנושאי המידע.