Día Europeo de la Protección de Datos: el reto de usar información sobre pacientes en investigación
La superación de diferentes escollos legales y técnicos permite ya la utilización de datos de salud de pacientes en investigación. Sin embargo, aún existen retos para crear entornos de ‘open data’ controlados
Durante años, y hasta la llegada del Reglamento General de Protección de Datos, la investigación en salud con datos se enfrentó a una carrera de obstáculos. Una nefasta trasposición de la Directiva de Protección de Datos, un entendimiento estricto de la normativa y la carencia de cultura jurídico-tecnológica en el soporte legal en los sistemas públicos de salud dificultaron el avance en esta área. Varios eran los factores que ralentizaban el uso de datos en investigación.
En nuestro país, el uso de datos personales debía ceñirse a proyectos de investigación concretos y no admitía ni usos adicionales ni su reutilización posterior. Una concepción estricta del principio de finalidad y la prohibición de uso para fines distintos erigieron la protección de datos personales en un muro infranqueable.
No era el único inconveniente. La interpretación jurídica de las primeras leyes de protección de datos, la LORTAD y la LOPD, en ausencia de la figura del delegado de protección de datos en el sistema público de salud, presentaba una enorme dificultad técnica. Generalmente llevaba a la adopción de soluciones restrictivas o de prohibición.
Sin embargo, el rigor científico nos obliga a subrayar cómo en aquellos años las carencias de la Administración en cumplimiento normativo resultaban particularmente graves. El doble perfil académico y sanitario de muchos investigadores generaba escenarios de riesgo significativos.
Datos anónimos
La Ley de la autonomía del paciente trataría de paliar este estado de cosas admitiendo dos escenarios para la investigación: el consentimiento del paciente o el uso anonimizado de los datos. La legislación en materia de investigación biomédica, ensayos clínicos o calidad y cohesión del sistema de salud pública iría paulatinamente disciplinando la materia. Sin embargo, la óptica de esta legislación y su interpretación seguía siendo profundamente restrictiva.
Se añadía a ello una cuestión material bien conocida por los expertos. Mientras la Directiva, y posteriormente el RGPD, conciben el concepto de anonimización desde la proporcionalidad, las autoridades de protección de datos lo hacen desde la irreversibilidad.
La normativa europea define un canon que se basa en tres pilares:
- Primero, analizar los riesgos de reidentificación mediante singularización, inferencia o vinculación.
- En segundo lugar, considerar el escenario desde el punto de vista de las capacidades cualquier sujeto a la hora de reidentificar.
- Finalmente y teniendo en cuenta el estado del arte, considerar anonimizados los datos cuando tal tarea exigiera un esfuerzo desproporcionado para cualquier sujeto.
Sin embargo, las autoridades señalan que la anonimización debe equivaler a un borrado, debe ser absolutamente irreversible y, además, prever con bastante antelación el estado futuro de la tecnología. Si añadimos las exigencias metodológicas que exigen adicionalmente un doble proceso de anonimización realizado por equipos independientes, en la práctica determina que la anonimización es imposible o está alcance de muy pocas entidades.
Uso de los datos de salud en investigación
La filosofía de los reguladores europeos, y de las legislaciones que aplicaban, trascendió al proceso de gestación del Reglamento General de Protección de Datos. De hecho, sus primeros borradores motivaron la encendida protesta de la Asociación Europea de Rectores augurando a la Comisión que el futuro RGPD impediría la investigación en la Unión Europea.
El cambio operado por el vigente RGPD resulta así altamente significativo. Se reconoce el valor de la investigación, incluida la investigación con datos masivos, como una finalidad de interés público relevante, particularmente en el ámbito de la salud. Se disciplina un consentimiento ampliado en sus objetivos y se admite el uso de datos para investigación como un uso «compatible» por definición.
Por otra parte, el RGPD delegaba en la legislación nacional la regulación específica en la materia. Y, de nuevo, siguiendo una inveterada tradición, el regulador fue pacato y conservador. El proyecto de Ley apostaba por una moratoria de dos años para regular la cuestión.
La decisión fue criticada por los expertos ante la Comisión de Justicia del Congreso y, en consulta pública, motivó aportaciones por ejemplo de las sociedades de epidemiólogos. Con mejor o peor fortuna, la aprobación de la disposición adicional decimoséptima sobre tratamientos de datos de salud de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) generó un nuevo ecosistema.
La norma es reseñable, aunque sea solo por el hecho de prever con dos años de antelación un escenario de investigación en supuestos de epidemia. Pero su valor crucial reside en definir un concepto amplio de consentimiento, permitir la reutilización de datos y generar un triple espacio para el uso de datos personales en la investigación en salud: el consentimiento, la anonimización y el uso seguro de datos seudonimizados.
Retos del open data de salud
Este nuevo territorio permite definir un escenario para la investigación que, garantizando los derechos fundamentales y aplicando la normativa sobre protección de datos, asegura alcanzar los objetivos para la investigación retrosprectiva y prospectiva empleando la analítica de datos en el ámbito de la salud. Es necesario subrayar que, a pesar de lo favorable del ecosistema normativo generado, el empleo de datos de salud del sistema público debe sortear un escollo adicional.
Por una parte, la Ley de reutilización de datos del sector público y la aplicación de los criterios de la Ley de transparencia, a los que remite la primera, dificultan extraordinariamente la generación de entornos de open data con datos de salud debido a los riesgos inherentes a los requisitos que se exigen en anonimización. Por otra, asegurar que los datos no se conviertan en una mercancía y se pierda la trazabilidad constituye un problema adicional particularmente gravoso.
Desde la investigación de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de València en la colaboración en proyectos de investigación del Instituto de Investigación Sanitaria INCLIVA, singularmente BigMedilytics, y el análisis del ecosistema de investigación del Instituto de Investigación Sanitaria, el IIS La Fe, y proyectos como Chaimeleon, se ha podido ensayar un enfoque basado en la idea de favorecer ecosistemas de open data controlado.
No se trata únicamente de investigación. La experiencia del IIS La Fe permite apreciar las ventajas que aportaría la generación de ecosistemas de datos de salud para su uso con fines primarios y asistenciales. Esto abriría el camino para sistemas de información clínica que trascienden la historia clínica, enriqueciendo las herramientas a disposición de los facultativos. Las lecciones aprendidas han sido aplicadas con éxito al proyecto Healthdata29: Guía legal y repositorio para fomentar la compartición de datos de salud de Fundación 29 auspiciado por Microsoft Ibérica.
El marco normativo permite aprovechar el espacio que la disposición adicional decimoséptima sobre tratamientos de datos de salud y el artículo 16 de la Ley 41/2002, de autonomía del paciente, ofrecen a la investigación con datos seudonimizados. Se trata, además, de una filosofía funcional al empleo adicional de datos personales, o de datos anonimizados. En este sentido, definir un espacio intermediado que ofrezca trazabilidad respecto de los agentes que investigan, que disponga de un modelo de gobernanza y que asegure un conjunto de estrategias jurídicas y técnicas adecuadas al RGPD constituye una valiosa aportación.
La innovación del legislador español y su concreción definen un ámbito para la investigación con datos en salud que se alinea con las aspiraciones del espacio europeo de investigación en salud, la Directiva Open Data y la futura Data Governance Act. La innovación legislativa, el significativo valor añadido de la digitalización de la sanidad española y la alta calidad científica de las áreas de conocimiento concernidas sitúan a España ante el reto de innovar y aportar al liderazgo europeo en este campo de la ciencia.
Este artículo fue publicado originalmente en The Conversation. Lea el original.