tabla de contenidos · 2020. 9. 7. · tabla de contenidos i. privacidad ... 5 (i) usará la pci...

1

Preguntas frecuentes sobre privacidad y seguridad de la PCI para centros e investigadores

Tabla de contenidos

I . PRIVACIDAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1. ¿Dónde puedo encontrar la política de privacidad de la PCI?........................................................ 4

2. ¿Dónde puedo encontrar las condiciones de uso de la PCI? .......................................................... 4

3. ¿A qué tengo que dar mi consentimiento cuando me registro como usuario de la PCI?........... 4

4. ¿Y si no acepto el consentimiento de todo?....................................................................................... 5

5. ¿Qué es el Registro del investigador?................................................................................................. 5

6. ¿Dónde puedo encontrar la política de privacidad del Registro del investigador?...................... 5

7. Después de dar mi consentimiento, ¿qué información se me pedirá? .......................................... 5

8. ¿Por qué tengo que completar el formulario de perfil? ..................................................................10

9. Ya tengo un acuerdo con el promotor o con los promotores con los que trabajo. ¿Se verá alterado dicho acuerdo por la aceptación de la política de privacidad y las condiciones de

uso?........................................................................................................................................................10

10. Quiero hacer cambios en la política de privacidad y en las condiciones de uso. ¿Cómo puedo

hacerlo? .................................................................................................................................................10

11. ¿Quién será el controlador de mis datos, ya que todas las empresas tendrán acceso a cada

perfil de usuario/centro? ....................................................................................................................11

12. ¿Qué base legal se utiliza para el tratamiento de datos? ...............................................................11

13. ¿Cuál es la implicación de TransCelerate en la plataforma compartida del investigador? ......11

14. Si Cognizant es el propietario de la PCI, ¿significa que puede consultar, utilizar o vender mis

datos? ....................................................................................................................................................11

15. ¿Cómo sé qué Promotores tendrán acceso a mi información? .....................................................11

2

16. ¿Hay alguna manera de limitar el acceso a mi información del perfil de investigador a los

promotores seleccionados? ................................................................................................................12

17. ¿Hay alguna manera de limitar el acceso a la información de mi institución o del personal

para los promotores seleccionados? .................................................................................................12

18. ¿Qué tipo de empresas pueden unirse a la PCI como Promotores? ............................................12

19. ¿Mi información se comparte con terceros? ¿Quiénes son? .........................................................12

20. ¿Se pueden utilizar mis datos con fines de marketing? .................................................................13

21. ¿Cómo puedo retirar mi consentimiento para que mi información se comparta en la PCI? ...13

22. ¿Cómo puedo retirar mi consentimiento para que mi información de perfil se comparta

dentro del registro?..............................................................................................................................13

23. ¿Durante cuánto tiempo se mantiene activa mi cuenta/información en la PCI?......................13

24. ¿Cómo puedo eliminar mi cuenta de la PCI?..................................................................................13

25. ¿Qué sucede si el promotor con el que trabajo deja de participar en la PCI? ............................14

26. ¿Existe un consentimiento separado para establecer un perfil de instalación o departamento?

................................................................................................................................................................14

27. ¿Qué información se recopila sobre nuestro personal del centro? ...............................................14

28. Si mi personal se registra en la PCI, ¿quién tendrá acceso a su información?...........................16

29. ¿Se enviará una notificación a la institución cuando su información se comparta con otras

partes? ...................................................................................................................................................17

30. ¿El sistema utiliza cookies? ...............................................................................................................17

31. ¿Hay algún dato personal de paciente o información de identificación personal en el sistema?

................................................................................................................................................................17

32. ¿Es cierto que los promotores no pueden ver la información que comparto con otros

promotores?..........................................................................................................................................17

33. ¿Cómo sabré si se actualiza la política de privacidad, el consentimiento o las condiciones de

uso?........................................................................................................................................................17

34. Trabajo para un organismo estatal, federal, la corona u otra entidad, y la ley impide que me comprometa a indemnizar a alguien. ¿Tendré que indemnizar a alguien si acepto el

contenido de estos documentos? ......................................................................................................17

I I . SEGURIDAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3

1. ¿Cómo se determina el acceso del usuario del centro y los permisos a los datos? ....................18

2. Las condiciones de uso establecen que no se puede garantizar que la PCI esté 100 % libre de

malware. ¿Por qué? .............................................................................................................................19

3. ¿Qué puedo hacer para asegurarme de que mis datos están seguros?........................................19

4. ¿Qué medidas de seguridad existen para evitar un posible “uso indebido” de los datos en la

PCI? .......................................................................................................................................................19

I I I. CUMPLIMIENTO, GENERALIDADES.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

1. ¿Cumplen Cognizant, DrugDev y los promotores de la PCI y el RI con la CCPA? ..................21

2. ¿Cumple el sistema con los requisitos específicos de la ley rusa?................................................21

3. ¿La PCI cumple con los requisitos de Buenas prácticas clínicas (BPC)?...................................21

4. ¿Cómo puedo conseguir una copia de la política de privacidad y las condiciones de uso en mi

idioma nativo?......................................................................................................................................21

4

Preguntas frecuentes sobre privacidad y seguridad de la PCI para centros e investigadores

I. PRIVACIDAD

1. ¿Dónde puedo encontrar la política de privacidad de la PCI? La política de privacidad combinada para la PCI y el Registro del investigador (RI) está

disponible aquí. Los usuarios potenciales pueden leer la política antes del registro si lo

desean, o en el momento del registro. Una vez que un usuario se haya registrado, se mostrará

un enlace a la política de privacidad en la parte inferior de cada página del sistema.

Tenga en cuenta: el servicio de inicio de sesión único proporcionado por Exostar tiene una

política de privacidad independiente, a la que también se puede acceder en la página de

registro o en el sitio web de Exostar.

2. ¿Dónde puedo encontrar las condiciones de uso de la PCI?

Las condiciones de uso están disponibles aquí. Los usuarios potenciales pueden leer las

condiciones de uso antes del registro si lo desean, o en el momento del registro.

3. ¿A qué tengo que dar mi consentimiento cuando me registro como usuario de la PCI? Antes de registrarse en la PCI, primero debe obtener un solo inicio de sesión de Exostar si aún no tiene uno. Como parte de ese proceso, deberá dar su consentimiento a la política de privacidad y los términos de uso de Exostar. En la pantalla de registro de la PCI, también se le pedirá que consienta que su información se hospede en la Plataforma compartida del investigador y en el Registro del investigador, donde se pondrá a disposición de todos los promotores participantes para facilitar la contratación de investigadores para ensayos clínicos. También se le pedirá que acepte la PCI y la política de privacidad del RI y las condiciones de uso de la PCI. Debido a que la PCI y el Registro del investigador están alojados en los EE. UU. y son accesibles desde cualquier parte del mundo, también se le solicitará que autorice la transferencia de sus datos fuera del país en el que se encuentra. Al mismo tiempo que dé su consentimiento, también se le pedirá que confirme que no:

https://www.sharedinvestigator.com/sipwsstatic/documents/newsite/PrivacyPolicy/PrivacyPolicy_EN.pdf

https://www.exostar.com/privacy-policy/

https://www.sharedinvestigator.com/sipwsstatic/documents/newsite/TermsOfUse/SIP_Terms_Of_Use_EN.pdf

5

(i) usará la PCI como un sistema de registro o como un medio principal para cumplir con cualquier obligación de crear, mantener y/o archivar registros electrónicos o digitales relacionados con un requisito de buenas prácticas;

(ii) incluirá o cargará información de pacientes en la PCI; o (iii) incluirá ningún Dato prohibido (según se define en las Condiciones de uso) al usar

la PCI. Finalmente, deberá aceptar las comunicaciones electrónicas de los promotores y Cognizant relacionadas con la PCI, ya sea en forma de correos electrónicos o avisos electrónicos enviados a través del sistema.

4. ¿Y si no acepto el consentimiento de todo? Los investigadores no pueden registrarse en la PCI sin marcar todas las casillas de consentimiento. Sin embargo, usted tiene el derecho de retirar su consentimiento en cualquier momento y dejar de usar el sistema.

5. ¿Qué es el Registro del investigador? El Registro del investigador es un repositorio compartido de información de investigación, del centro y del estudio creado por DrugDev y TransCelerate Biopharma, Inc. y sus empresas asociadas. La base de datos está diseñada para facilitar una identificación y un reclutamiento más rápidos de investigadores calificados sobre la base de la experiencia previa y evitará la duplicación de las actividades de calificación del centro. Al participar en la PCI, usted acepta que su información se comparta en el Registro del investigador.

6. ¿Dónde puedo encontrar la política de privacidad del Registro del investigador?

La PCI y el RI comparten la misma política de privacidad. La política de privacidad está disponible en la Página de destino de la PCI (https://www.sharedinvestigator.com/home).

7. Después de dar mi consentimiento, ¿qué información se me pedirá? A los nuevos usuarios se les pide que rellenen el perfil de usuario de la PCI, donde se solicitan los siguientes datos:

Categoría de datos Encabezado de sección

Elemento de datos Necesario para la generación de CV

Detalles básicos Nombre y detalles de contacto fundamentales

Título


Nombre Sí


Segundo nombre


Apellido Sí

https://www.sharedinvestigator.com/home

https://www.sharedinvestigator.com/home

6




Sufijo


Iniciales


Teléfono móvil/celular Sí


Dirección/direcciones de correo electrónico

Detalles básicos Nombre del trabajo y función

Nombre del trabajo/profesión Sí

Detalles básicos Nombre del trabajo y función

Función Sí

Detalles básicos Dirección principal de la empresa

Nombre de la empresa/institución


Nombre y número de la calle Sí


Edificio/Piso/Habitación/Suite Sí


Información de dirección adicional


País Sí


Estado/Provincia/Región Sí


Población Sí

7




Código postal

Detalles básicos Otros detalles de contacto

Teléfono principal/día


Teléfono (noche)


Teléfono (24 horas)


Número de fax


Números del buscapersonas

Instalaciones N/A Instalación

Se requiere al menos una instalación

Instalaciones N/A Departamento

Instalaciones N/A

Estado/Provincia/Región

Instalaciones N/A País

Educación N/A

Título/Certificado

Se agrega al menos un registro o la sección se marca como “No aplicable”

Educación N/A Institución

Educación N/A Especialidad

Educación N/A

Año completado

Experiencia profesional N/A Nombre del trabajo Se agrega al menos un registro o la sección se marca como “No aplicable”

Experiencia profesional N/A

Institución/Departamento

8



Experiencia profesional N/A Año iniciado

Experiencia profesional N/A Posición actual

Experiencia profesional N/A Año completado

Experiencia de investigación

Tipo de estudio Opciones de selección múltiple

Se selecciona al menos una opción para “Tipo de estudio” y “Fases del estudio clínico” y se añade un registro para “Área(s) terapéutica(s) de experiencia” y “Experiencia total de investigación clínica” o la sección está marcada como “No aplicable”


Fases del estudio clínico Opciones de selección múltiple


Área terapéutica de experiencia




Área terapéutica secundaria


Experiencia total en investigación clínica

Área terapéutica






Número de estudios completados



Número de estudios en curso

Formación de BPC N/A Proveedor del curso

Se agrega al menos un registro o la sección se responde como “No” Formación de BPC N/A

Fecha de finalización

Formación de BPC N/A Fecha de caducidad

9



Formación de BPC N/A Estado

Formación de BPC N/A

Certificado de formación

Detalles de licencia N/A Tipo de licencia

Se agrega al menos un registro o la sección se marca como “No aplicable”

Detalles de licencia N/A Emisor de licencias

Detalles de licencia N/A

Número de licencia profesional


Estado/Provincia/Región

Detalles de licencia N/A País

Detalles de licencia N/A Fecha de emisión

Detalles de licencia N/A Fecha de caducidad


Documento de apoyo

Adjuntos al perfil N/A Nombre del documento No requerido

Adjuntos al perfil N/A

Descripción del documento No requerido

Publicaciones y presentaciones Publicaciones

Cita de diario/resumen No requerido

10



Publicaciones y presentaciones Publicaciones

Fecha de publicación No requerido

Publicaciones y presentaciones Presentaciones

Título de la presentación No requerido


Ubicación No requerido


Fecha No requerido

Para obtener información sobre los datos recogidos fuera del formulario de perfil del investigador, consulte la Sección 2 de la Política de privacidad.

8. ¿Por qué tengo que completar el formulario de perfil?

El hecho de completar el formulario de perfil en la PCI aligera su carga administrativa, pues no tendrá que rellenar formularios nuevos para cada ensayo ni volver a enviar un CV, ya que el perfil reemplaza los formularios de perfil específicos y los requisitos para los CV del promotor. La cumplimentación del formulario de perfil permite también a los promotores realizar búsquedas en los datos de perfiles de la PCI para identificar a los investigadores/centros que cumplen las necesidades de sus próximos estudios, lo que puede llevar a más oportunidades de estudios.

9. Ya tengo un acuerdo con el promotor o con los promotores con los que trabajo. ¿Se verá alterado dicho acuerdo por la aceptación de la política de privacidad y las condiciones de uso?

No. La política de privacidad está diseñada para informar a los investigadores sobre qué datos se recopilan en la PCI y el RI, cómo se utiliza y quién los utiliza. Las condiciones de uso están diseñadas para establecer los términos y condiciones del uso de la PCI por parte del investigador. Estos documentos no alteran ni sustituyen ningún contrato que usted haya celebrado con el promotor de un ensayo clínico.

10. Quiero hacer cambios en la política de privacidad y en las condiciones de uso. ¿Cómo puedo hacerlo?

Ni los promotores ni Cognizant pueden aceptar cambios solo para un centro o grupo de centros, pues todos los usuarios deben someterse a los mismos términos. Sin embargo, los promotores reciben de buen grado cualquier comentario sobre la política de privacidad y las condiciones de uso y estudian la posibilidad de hacer cambios en caso de que sean

11

necesarios. Póngase en contacto con el promotor con el que trabaja o con Cognizant utilizando la información de contacto que verá en la política de privacidad.

11. ¿Quién será el controlador de mis datos, ya que todas las empresas tendrán acceso a cada perfil de usuario/centro?

Los responsables del tratamiento de los datos del perfil del investigador son las empresas

promotoras participantes.

Exostar tiene control de los datos de inicio de sesión y registro que un usuario envía con el fin de configurar una cuenta de Exostar para iniciar sesión en la PCI. Este es el nombre de usuario y el correo electrónico del usuario. Exostar tiene el control sobre estos datos ya que el sistema SSO es un sistema independiente para otros clientes externos a la PCI.

12. ¿Qué base legal se utiliza para el tratamiento de datos?

El consentimiento es la base jurídica principal para el tratamiento de los datos del perfil del

investigador que incluye el usuario en la PCI. Sin embargo, las empresas promotoras

participantes también pueden basarse en sus intereses legítimos (por ejemplo, al tratar datos

personales sobre usted obtenidos del Registro del investigador) o en la necesidad de cumplir

con sus obligaciones legales o reglamentarias.

Para obtener más información, consulte la Sección 2: ¿Qué información recoge el sistema y

cómo utilizamos esta información?

13. ¿Cuál es la implicación de TransCelerate en la plataforma compartida del

investigador?

TransCelerate y sus miembros han trabajado para desarrollar la Plataforma compartida del investigador. TransCelerate nunca ha tenido acceso a la PCI ni a ningún dato contenido en esta. El sistema ahora lo opera Cognizant y TransCelerate ya no participa en el desarrollo del mismo.

14. Si Cognizant es el propietario de la PCI, ¿significa que puede consultar, utilizar o

vender mis datos?

Cognizant es el propietario de la plataforma, pero no tiene derechos sobre los datos del investigador. Los Promotores son los responsables del tratamiento de los datos del perfil del investigador. Cognizant solo puede acceder a los datos del investigador en la medida necesaria para mantener la funcionalidad del sistema. Como estipula la política de privacidad, Cognizant no alquilará ni venderá sus datos.

15. ¿Cómo sé qué Promotores tendrán acceso a mi información?

Un hipervínculo disponible en la página de registro y la Sección 11 de la política de privacidad permite acceder a una lista de promotores que actualmente participan en la PCI y el RI. A medida que nuevos promotores se unan al sistema, se le enviarán avisos para

12

notificar que se han unido al sistema. Esos nuevos promotores también tendrán acceso a la información de su investigador, pero no a los datos de los ensayos clínicos específicos. Como siempre, tiene derecho a retirar su consentimiento y dejar de usar el sistema en cualquier momento, lo que hará que su información de investigador deje de compartirse con promotores.

16. ¿Hay alguna manera de limitar el acceso a mi información del perfil de investigador

a los promotores seleccionados?

No, por ahora. Todos los promotores de la PCI y el RI participantes tendrán acceso de solo lectura a la información de perfil de usuario de todos los usuarios registrados en el centro.

17. ¿Hay alguna manera de limitar el acceso a la información de mi institución o del personal para los promotores seleccionados? No. Todos los promotores de la PCI y el RI participantes tendrán acceso de solo lectura a la información de perfil de usuario de todos los usuarios registrados. Los promotores de la PCI también tendrán acceso solo para lectura a los perfiles de todas las instalaciones/departamentos y organizaciones en PCI.

18. ¿Qué tipo de empresas pueden unirse a la PCI como Promotores?

La participación está restringida a empresas biofarmacéuticas que realizan ensayos clínicos.

19. ¿Mi información se comparte con terceros? ¿Quiénes son?

Los promotores comparten su información con proveedores de servicios que proporcionan servicios necesarios para operar la PCI o el Registro del investigador, entre los que se incluyen Cognizant y DrugDev, y tal como se indica en la política de privacidad.

Los promotores también pueden compartir su información con socios externos específicos que retiene para ayudar en la realización de ensayos clínicos, por ejemplo, organizaciones de investigación clínica, pero solo cuando el intercambio de la información sea necesario para la realización del ensayo.

La PCI y el RI también utilizan otros terceros de confianza para proporcionar servicios adicionales, como Exostar LLC, que proporcionan servicios de administración de acceso de identidad. Por lo tanto, su información estará a disposición de estos socios externos y podrán utilizarla cuando sea necesario para que puedan prestar sus servicios a los promotores.

La información nunca es alquilada ni vendida por los Promotores, Cognizant, DrugDev ni ninguno de los terceros con los que se comparte.

13

20. ¿Se pueden utilizar mis datos con fines de marketing? No, no sin obtener un consentimiento específico independiente de usted para hacerlo. Todas las entidades que tengan acceso a datos (Promotores, Cognizant, DrugDev, terceros necesarios para el funcionamiento del sistema o la realización de ensayos clínicos) solo podrán utilizarlos para los fines establecidos en la política de privacidad, entre los cuales no se incluye el marketing. Es importante tener en cuenta que los Promotores pueden utilizar su información de contacto para ponerse en contacto con usted para ofrecerle posibles oportunidades de participación en ensayos clínicos.

21. ¿Cómo puedo retirar mi consentimiento para que mi información se comparta en la PCI? Puede ponerse en contacto con el servicio de ayuda de la PCI en [email protected] para solicitar la eliminación de su perfil en la PCI. Tenga en cuenta que retirar su consentimiento para que su información sea compartida en la PCI solo se aplica en la PCI, y no en el registro. Consulte la pregunta 22 para saber cómo eliminar la información de su perfil en el registro.

Cuando envíe su solicitud, Cognizant eliminará su perfil, a menos que esté

participando en un ensayo clínico en curso, en cuyo caso su solicitud no será atendida y tendrá que volver a enviar su solicitud cuando el ensayo se haya completado.

Tenga en cuenta que, si ha participado previamente en un ensayo clínico utilizando la PCI aunque su perfil ya no esté visible en la PCI, los promotores correspondientes conservarán su información según sea necesario para sus propias obligaciones de mantenimiento de registros.

22. ¿Cómo puedo retirar mi consentimiento para que mi información de perfil se comparta dentro del registro? Puede ponerse en contacto con DrugDev directamente en [email protected] o puede ponerse en contacto con el servicio de ayuda de la PCI en [email protected], y ellos se coordinarán con el registro.

23. ¿Durante cuánto tiempo se mantiene activa mi cuenta/información en la PCI?

Siempre que no haya eliminado su cuenta, si no inicia sesión en la PCI durante tres años, su cuenta se cerrará automáticamente y su información se eliminará a partir de entonces (excepto para la información que sea necesario conservar para propósitos de registro de mantenimiento). Recibirá una notificación por correo electrónico antes de cerrar su cuenta, por lo que tiene tiempo para iniciar sesión en su cuenta y evitarlo.

24. ¿Cómo puedo eliminar mi cuenta de la PCI?

Si desea cerrar su cuenta para que ya no sea visible en la PCI, póngase en contacto

con la Ayuda de la PCI en [email protected].

mailto:[email protected]



14

Cuando envíe su solicitud, Cognizant eliminará su perfil, a menos que esté participando en un ensayo clínico en curso, en cuyo caso su solicitud no será atendida y tendrá que volver a enviar su solicitud cuando el ensayo se haya completado.

Tenga en cuenta que, si ha participado previamente en un ensayo clínico utilizando la PCI aunque su perfil ya no esté visible en la PCI, los promotores correspondientes conservarán su información según sea necesario para sus propias obligaciones de mantenimiento de registros.

25. ¿Qué sucede si el promotor con el que trabajo deja de participar en la PCI?

Si el Promotor con el que trabaja deja de participar en la PCI, puede elegir si desea mantener su perfil activo en la plataforma o si desea solicitar la eliminación del mismo.

26. ¿Existe un consentimiento separado para establecer un perfil de instalación o departamento?

Los usuarios consienten todos los términos durante el registro inicial. Un usuario no está obligado a aceptar ningún consentimiento adicional durante la creación de la instalación o departamento. Para obtener información adicional, consulte la sección 2: ¿Qué información recoge el sistema y cómo utilizamos esta información?

27. ¿Qué información se recopila sobre nuestro personal del centro? La PCI recopila la siguiente información sobre el personal del centro en el perfil de usuario de la PCI. La información recopilada para los usuarios del personal del centro es la misma que para los investigadores. Las únicas diferencias son los campos que son obligatorios para la generación de CV.

Categoría de datos

Encabezado de sección

Elemento de datos

Personal del centro - Necesario para la generación de CV

Detalles básicos

Nombre y detalles de contacto fundamentales

Título

Nombre Sí Segundo nombre

Apellido Sí Sufijo

Iniciales

Teléfono móvil/celular Sí Dirección de correo electrónico Sí

Nombre del trabajo/profesión

15

Nombre del trabajo y función

Función Sí

Dirección principal de la empresa

Nombre de la empresa/institución

Nombre y número de la calle Sí

Edificio/Piso/Habitación/Suite Sí Información de dirección adicional

País Sí

Estado/Provincia/Región Sí

Población Sí

Código postal

Otros detalles de contacto

Teléfono principal/día

Teléfono (noche) Teléfono (24 horas)

Número de fax Números del buscapersonas

Instalaciones

N/A

Instalación Se requiere al menos una instalación Departamento

Estado/Provincia/Región País

Educación

N/A

Título/Certificado Se agrega al menos un registro o la sección se marca como “No aplicable”

Institución

Especialidad Año completado

Experiencia profesional

N/A

Nombre del trabajo Se agrega al menos un registro o la sección se marca como “No aplicable”

Institución/Departamento

Año iniciado Posición actual

Año completado Experiencia de investigación

Tipo de estudio Opciones de selección múltiple Se selecciona al menos una opción para “Tipo de estudio” y “Fases del estudio clínico” y se añade un registro para “Área(s) terapéutica(s) de experiencia” y “Experiencia total de investigación clínica” o la sección está marcada como “No aplicable”

Fases del estudio clínico

Opciones de selección múltiple

Área(s) terapéutica(s) de experiencia




Área terapéutica

Área terapéutica secundaria Número de estudios completados

Número de estudios en curso

16

Formación de BPC

N/A

Proveedor del curso Se agrega al menos un registro o la sección se responde como “No”

Fecha de finalización

Fecha de caducidad

Estado

Certificado de formación Detalles de licencia

N/A

Tipo de licencia Se agrega al menos un registro o la sección se marca como “No aplicable”

Emisor de licencias

Número de licencia profesional Estado/Provincia/Región

País Fecha de emisión

Fecha de caducidad Documento de apoyo

Adjuntos al perfil N/A

Nombre del documento No requerido Descripción del documento No requerido

Publicaciones y presentaciones

Publicaciones Cita de diario/resumen No requerido Fecha de publicación No requerido

Presentaciones Título de la presentación No requerido Ubicación No requerido

Fecha No requerido

28. Si mi personal se registra en la PCI, ¿quién tendrá acceso a su información?

Todos los promotores participantes tienen acceso a los perfiles de usuario para todos los

usuarios registrados en la PCI. Los usuarios no pueden ver los perfiles de usuario de otros usuarios del centro, con las siguientes excepciones:

Gestores de perfiles de instalación: las personas con funciones de gestor de perfil de

instalación, director de instalación y delegado del director de instalación pueden ver

los perfiles de usuario de los investigadores y el personal del centro que han añadido

la instalación a su perfil de usuario.

Gestores de perfiles de departamento: las personas con funciones de gestor de perfil

de departamento, director de instalación y delegado del director de instalación

pueden ver los perfiles de usuario de los investigadores y el personal del centro que

han añadido el departamento a su perfil de usuario.

Delegados de perfil de usuario: las personas elegidas como delegados de perfil de

usuario por un investigador o miembro del personal del centro pueden ver y

actualizar el perfil de usuario.

Personal de la organización: las organizaciones que tienen una relación confirmada

con una instalación pueden ver los perfiles de usuario del personal que está afiliado a

esas instalaciones. La capacidad de ver los perfiles depende de la naturaleza de la

relación entre la organización y la instalación. Los detalles sobre esta relación están

disponibles en el perfil de la organización.

17

29. ¿Se enviará una notificación a la institución cuando su información se comparta con otras partes?

Como parte del proceso de registro, cada usuario da su consentimiento para que su

información sea utilizada en la Plataforma compartida del investigador y en el Registro del

investigador, donde se pondrá a disposición de todos los promotores participantes con el fin

de facilitar la contratación de investigadores para ensayos clínicos. No se enviará una

notificación a la institución cada vez que se vea su información.

30. ¿El sistema utiliza cookies?

El sistema solo utiliza cookies que sean estrictamente necesarias para proporcionar la PCI, como, por ejemplo, permitir a un Usuario navegar por la PCI, utilizar las diferentes opciones o servicios y acceder a las áreas seguras del sitio web.

31. ¿Hay algún dato personal de paciente o información de identificación personal en el sistema?

No. Los datos personales o la información de identificación personal de pacientes no se recogen ni en la PCI ni en el RI.

32. ¿Es cierto que los promotores no pueden ver la información que comparto con otros

promotores?

Sí, cada promotor tiene espacios separados para los ensayos que realizan. Solo los investigadores y el promotor que participen en un ensayo pueden ver la información sobre ese ensayo.

33. ¿Cómo sabré si se actualiza la política de privacidad, el consentimiento o las condiciones de uso?

Si se realiza un cambio sustancial en uno de estos documentos, se le enviará una notificación a través del sistema.

34. Trabajo para un organismo estatal, federal, la corona u otra entidad, y la ley impide que me comprometa a indemnizar a alguien. ¿Tendré que indemnizar a alguien si acepto el contenido de estos documentos?

No. No existe indemnización formal, y la expresión “eximir” presente en las condiciones de uso es necesaria solo en la medida permitida por la legislación aplicable.

18

II. Seguridad

1. ¿Cómo se determina el acceso del usuario del centro y los permisos a los datos? Cuando el usuario está registrado en la PCI ya sea como investigador o como usuario de

investigación clínica antes de participar en un estudio, tiene acceso únicamente a los

siguientes datos en la PCI:

a. Perfil de usuario propio y delegado (consulte los detalles del campo CV de la

pregunta 7),

b. Formaciones propias asignadas y completadas, cursos de BPC y programas

informativos en la PCI.

c. Nombre y dirección de las instalaciones disponibles en la PCI. El acceso a los

siguientes detalles de la instalación solo se concede si el usuario está asociado a la

instalación.

Contactos de la instalación

Áreas terapéuticas y población de pacientes

IRB/ERB/Comité de ética

Local, Central, Solo revisión IRB/ERB/Comité de ética

Otras juntas de revisión

Laboratorio local

Consentimiento y formación

Instalación y equipos

Producto de investigación (IP) y sustancias ilegales

Documentación de origen

Información adicional y archivos adjuntos

d. Encuestas asignadas para las que el usuario del centro es destinatario

e. Documentos comunes como CV propio, licencia médica, archivos adjuntos de

perfil de usuario, certificados de formación, documentos de instalaciones

asociadas como adjuntos del Comité de ética/IRB/ERB local, central,

documentación de productos en investigación y sustancias ilegales.

f. Informe de registro de usuarios del centro y de los datos de contacto de

instalaciones y departamentos

Una vez que el usuario del centro está asociado a un estudio, se conceden permisos para acceder a los datos del área de trabajo del estudio, así como los datos del centro de estudio para los que el usuario actúa como personal del centro. En función de la función del personal del centro asignado, los permisos se amplían para ver los informes de estudio en el sistema. Si se quita un usuario de un permiso de función de personal del centro para ver el área de trabajo de estudio, se revoca el acceso a los datos del estudio. Estos permisos para cada función asignada a un usuario en la PCI se definen en una matriz completa “basada en funciones” que define el acceso para cada función de promotor y usuario a nivel de función de módulo/laboral.

19

La matriz de funciones de la PCI se actualiza con cada versión de la PCI y el sistema se

comprueba para verificar que a los usuarios se les concede acceso a la información correcta

según su función. Los cambios clave en el acceso basado en funciones se comunican a los

usuarios según sea necesario.

Cualquier cambio en el acceso a los datos que afecte a la privacidad del usuario se

comunicaría a los usuarios antes de la divulgación de esta información.

2. Las condiciones de uso establecen que no se puede garantizar que la PCI esté 100 % libre de malware. ¿Por qué? Cognizant no puede proporcionar una garantía del 100 % porque, por desgracia, sigue

habiendo agentes perniciosos en la web y es imposible garantizar la inmunidad completa

frente estos ataques. Sin embargo, existen medidas de seguridad para proteger la PCI. Para

obtener más información sobre esas medidas, consulte a continuación.

3. ¿Qué puedo hacer para asegurarme de que mis datos están seguros? Todos los usuarios de la PCI son responsables de mantener protegidas sus propias

contraseñas y de no compartir sus credenciales de inicio de sesión con otros miembros de su

personal. Cada usuario debe tener su propia cuenta y delegación de trabajo formalmente

delegadas en el sistema, en lugar de permitir que múltiples miembros del personal utilicen

una sola cuenta. Esto es fundamental desde una perspectiva de seguridad.

Si cree que su cuenta se ha visto comprometida, póngase en contacto inmediatamente con la

Ayuda de la PCI en [email protected].

4. ¿Qué medidas de seguridad existen para evitar un posible “uso indebido” de los datos en la PCI? La PCI cuenta con las siguientes medidas de seguridad para garantizar la seguridad de su

información:

Infraestructura: la PCI se hospeda en centros de datos protegidos dentro de una zona

desmilitarizada (DMZ). Esto se logra básicamente mediante firewalls y otras

herramientas que proporcionan las capacidades de monitorización y exploración. Todos

los eventos activados por las herramientas se envían al servicio de soporte técnico que

los gestiona en función de SOP bien definidos.

Firewall: los firewalls y el módulo asociado del sistema de prevención de intrusiones

(IPS) proporcionan seguridad de red evitando el tráfico de red no deseado o

malintencionado y dirigiendo el tráfico de red legítimo correctamente según su origen

y destino. Hay módulos del IPS asociados con cada instancia del firewall que se

configuran para escanear el tráfico de DMZ. Los firewalls también proporcionan la

funcionalidad SSL VPN para la administración remota de la infraestructura. La

solución SSL VPN está integrada con la autenticación RSA de 2 factores para

proporcionar más seguridad. RSA utiliza una combinación de 2 factores (PIN +

código Token) para validar la autenticación de usuario.


20

Antivirus: la herramienta antivirus utilizada aquí combina antivirus, antispyware,

firewall y tecnologías de prevención de intrusiones para detener y eliminar software

malicioso. También amplía la cobertura a los nuevos riesgos de seguridad y reduce el

costo de responder a los eventos con el menor impacto en el rendimiento del sistema.

Gestión de la información y eventos de seguridad (SIEM): la PCI utiliza un software

SIEM que recopila y agrega los datos de registro generados en toda la infraestructura,

desde sistemas y aplicaciones host hasta dispositivos de red y de seguridad, como

firewalls y filtros antivirus.

Cifrado: la plataforma utiliza el cifrado “Secure Socket Layer” estándar de 128 bits para

proteger su información personal cuando accede a áreas seguras de la plataforma.

Oracle Transparent Data Encryption (TDE) con el algoritmo Advanced Encryption

Standard-AES128 para cifrar los datos en reposo. Todos los datos de la aplicación se

cifran utilizando este algoritmo.

Tenga en cuenta que ninguna transmisión a través de Internet o UNA red pública puede ser 100 % segura, y no podemos aceptar responsabilidad por ningún compromiso en la seguridad de las transmisiones a través de dichas redes.

Control de acceso: la aplicación de la PCI mantiene la información de control de acceso

de un usuario individual para administrar conjuntos de datos importantes, como los

datos del estudio, centro, funciones, etc.

Comprobaciones de autorización: la aplicación PCI comprueba si el usuario que ha

iniciado sesión tiene autorización para acceder al recurso o al conjunto de datos que el

usuario ha solicitado. Por ejemplo, cuando los usuarios hacen clic en un estudio o

centro del estudio específico, la aplicación realiza una comprobación de autorización

para asegurarse de que el usuario tiene acceso válido a ese estudio y/o centro del

estudio antes de proporcionar acceso a la información en la base de datos.

Consultas de base de datos: el sistema está diseñado mediante consultas de base de

datos que garantizan que solo se devuelven datos accesibles para un usuario y una

organización determinados.

Inicio de sesión único: los usuarios del promotor iniciaron sesión con SSO, mediante

la cual la aplicación recibe la información de la organización a la que está asociado el

usuario.

Exostar: Exostar mantiene las credenciales del usuario del centro y realiza la

autenticación de usuario del centro. Para obtener más información sobre la seguridad

de nuestro proveedor de SSO, póngase en contacto con Exostar en

[email protected].

Seguridad de nivel de promotor: los promotores y sus proveedores de servicios

también son responsables de adoptar las medidas técnicas, administrativas y

organizativas adecuadas para garantizar que la información de identificación personal

(PII) esté protegida contra la destrucción accidental o ilegal y contra la pérdida

accidental, alteración, divulgación o acceso no autorizado, así como contra todas las

demás formas ilegales de procesamiento. Para obtener información adicional sobre la

21

seguridad de la información del promotor, póngase en contacto directamente con cada

promotor. Los contactos del promotor están disponibles a través de la Ayuda de la PCI.

Motor antivirus en la plataforma: la PCI utiliza un motor antivirus, que se inicia cada

vez que una solicitud de carga de archivos llega al servidor portal. Si el archivo que se

está cargando es un archivo infectado por virus, el escáner produce una excepción que se

detecta para mostrar el mensaje personalizado en la pantalla de la PCI.

Evaluaciones periódicas de vulnerabilidad: los equipos de desarrollo y soporte de la

PCI participan en evaluaciones periódicas del código de aplicación, así como de la

infraestructura. El equipo realiza una evaluación regular del código.

Las pruebas de seguridad de aplicaciones estáticas (SAST) se utilizan para revisar la

base de código en busca de vulnerabilidades según lo definido por OWASP TOP 9

(Open Web Application Security Project)

Las pruebas de seguridad de aplicaciones dinámicas (DAST) se utilizan para detectar

estados que indican una vulnerabilidad de seguridad en una aplicación en su estado de

ejecución

La evaluación de la vulnerabilidad en infraestructura se realiza para detectar vulnerabilidades en el software y hardware subyacentes en los que se hospeda la

aplicación

Las pruebas de penetración se realizan para detectar las vulnerabilidades conocidas,

como defectos de configuración del sistema o contraseñas débiles, y su propósito es

intentar acceder a la red.

III. Cumplimiento, Generalidades

1. ¿Cumplen Cognizant, DrugDev y los promotores de la PCI y el RI con la CCPA? Sí Consulte la Sección 10 de la Política de privacidad: Derechos de privacidad de los residentes de California.

2. ¿Cumple el sistema con los requisitos específicos de la ley rusa? Sí Los promotores recogen datos de investigadores rusos en servidores rusos y obtienen el consentimiento adecuado de dichos investigadores para transferir esa información a la PCI y el RI.

3. ¿La PCI cumple con los requisitos de Buenas prácticas clínicas (BPC)?

Sí, los requisitos de BPC se incluyen en nuestros requisitos de usuario y el sistema se

comprueba para garantizar que se cumplen estos requisitos en cada versión.

4. ¿Cómo puedo conseguir una copia de la política de privacidad y las condiciones de uso en mi idioma nativo? Cognizant espera tener copias de la política de privacidad y las condiciones de uso disponibles en los siguientes idiomas: 1. Español (Latinoamérica)

2. Francés (europeo)

22

3. Español (europeo)

4. Chino (tradicional)

5. Chino (mandarín)

6. Japonés

7. Ruso

8. Árabe

9. Coreano

10. Italiano

11. Alemán

12. Portugués (brasileño)

13. Francés (canadiense)

14. Portugués (portugués)

Si necesita la información en un idioma que no esté en esta lista, póngase en contacto con el Servicio de ayuda de la PCI y Cognizant y los Promotores añadirán otras traducciones si hay suficiente demanda.

tabla de contenidos · 2020. 9. 7. · tabla de contenidos i. privacidad ... 5 (i) usará la pci...

Documents