El Reglamento General de Protección de Datos (RGPD) y el Proyecto de Ley Orgánica de Protección de Datos, no solo mantienen inalterado el régimen contenido en la normativa reguladora de la investigación biomédica, sino que permiten realizar una interpretación más flexible del alcance que puede darse al consentimiento en el tratamiento de datos, tal como ha expresado la Agencia Española de Protección de Datos (AEPD).
A pesar de ello, el RGPD tiene un gran impacto en la investigación en salud realizada con bases de datos. El RGPD presta especial atención al “big data” aunque no lo nombra expresamente; sí nombra la investigación a partir de registros: Combinando información procedente de registros, los investigadores pueden obtener nuevos conocimientos ….. (Los registros).. proporcionan conocimientos sólidos y de alta calidad que pueden servir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los servicios sociales. Para facilitar la investigación científica, los datos personales pueden tratarse con fines científicos, a reserva de condiciones y garantías adecuadas establecidas en el Derecho de la Unión o de los Estados miembros.
A continuación se apuntan algunas notas, derivadas del RGPD y no exhaustivas, acerca de la investigación en salud a partir de bases de datos; pueden ser de interés tanto para los responsables de los datos susceptibles de ser utilizados en investigación, como para los investigadores o los comités de ética de la investigación (CEI):
Alcance del RGPD
Como Reglamento, no necesita transposición, y por tanto es de aplicación común a todo el Espacio Europeo de Investigación. A efectos prácticos, si en un proyecto multinacional los reguladores nacionales tuviesen criterios distintos para autorizar o no el tratamiento de unos datos (ejemplo condiciones de acceso a datos clínicos), sería el Supervisor Europeo de Protección de Datos quien debería pronunciarse al respecto.
El tratamiento de datos personales con fines de investigación científica incluye los estudios realizados en interés público en el ámbito de la salud pública, y es interpretado de manera amplia, incluyendo a modo de ejemplo:
- el desarrollo tecnológico y la demostración.
- la investigación fundamental.
- la investigación aplicada.
- la investigación financiada por el sector privado.
Es preciso no olvidar la distinta intención en el tratamiento de datos con fines de investigación sanitaria (generar conocimiento) o de calidad o gestión (evaluación y organización de recursos). Igualmente en el ámbito del big data pueden surgir dudas al diferenciar el tratamiento de datos con fines a la investigación o comercial.
Los “datos relativos a la salud” son definidos como datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
El Reglamento afecta a los datos personales y a los datos seudonimizados.
Son “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Se denomina “seudonimización”: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Los paradigmas tradicionales en los que se sustentaba la privacidad, anonimización de datos y consentimiento informado, no son las principales garantías en las que se sustenta la privacidad en estos proyectos. Cobra mayor relevancia la transparencia de la información que la obsesión por el consentimiento informado, (tenemos ya la experiencia negativa, tras entrar en vigor el RGPD, del otorgamiento del consentimiento en el acceso a plataformas y dispositivos móviles).
Los principios de protección de datos no deben aplicarse a la información anónima (inclusive con fines estadísticos o de investigación), es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. A pesar de ello, con métodos adecuados, la tecnología ha permitido reidentificar grandes bases de datos sanitarios anonimizados, y la AEPD ha reconocido que no es posible considerar que los procesos de anonimización garanticen al 100% la no reidentificación de las personas; incluso con buenas prácticas en la anonimización. En consecuencia, los CEI deberían valorar tanto los proyectos con datos personales o seudonimizdos, como con datos anonimizados.
Principios
Los investigadores han de tener en cuenta los siguientes principios:
A estos principios hay que añadir la no discriminación de las personas, y la responsabilidad proactiva del responsable de la investigación.
El responsable de la investigación es igualmente responsable de que se contemplen los principios de protección de datos desde el diseño y por defecto, estableciendo las medidas técnicas y organizativas adecuadas.
Comités de ética de la investigación (CEI)
Los CEI tienen el reto de adaptar sus procedimientos para evaluar proyectos a partir de bases de datos, teniendo en cuenta el desarrollo digital en general y el RGPD en particular. Cada día se presentarán más situaciones en las que las respuestas estarán más en los planos deliberativos que en los legislativos.
Es preciso hacer un seguimiento de los proyectos de investigación en marcha, para garantizar que estos se ejecutan de acuerdo a su protocolo, priorizando aquellos con mayor impacto en la protección de datos y los que manejan muestras biológicas.
Sería conveniente disponer de guías específicas para la evaluación de este tipo de proyectos.
Mientras tanto, se pueden tener en cuenta algunas consideraciones que los investigadores han de tener en cuenta al elaborar protocolos de investigación para este tipo de proyectos.
Riesgos éticos en el tratamiento de datos
Entre estos se han descrito, la omisión deliberada de datos, la visualización engañosa, los sesgos, desconocimiento del origen de los datos, deficiencias en su calidad y la de sus metadatos, no trazabilidad, y anonimización insuficiente.
Protocolo
Aunque parezca obvio, hay que partir siempre de un protocolo de investigación (no sólo cuando se presenta a financiación externa) evaluado por un CEI, que permita valorar que tiene una sólida base científica y que salvaguarda los derechos de las personas involucradas.
En su evaluación, las primeras dificultades pueden surgir al diferenciar los proyectos de evaluación o gestión de los de investigación; puede ser igualmente difícil diferenciar los proyectos académicos de los comerciales (estos últimos tienen limitaciones en el tratamiento de ciertos datos).
La metodología de la investigación en “big data” tendente a la identificación de patrones a partir de grandes volúmenes de datos, presenta características especiales que habrá que tener en cuenta. Esta naturaleza libre de hipótesis de (algunos) estudios de big data, hace que sea más difícil aplicar mecanismos epistemológicos convencionales.
Equipo investigador
El investigador principal es el responsable del cumplimiento del RGPD, y además, estar en condiciones de demostrar que este se cumple. Entre sus obligaciones estaría la de comunicar las brechas de seguridad al Delegado de Protección de Datos de su institución.
Se sugiere la participación o asesoramiento de profesionales con competencias en big data y protección de datos, con un grado de implicación acorde al alcance del proyecto.
Es preciso la aceptación expresa de las normas de confidencialidad por todos los integrantes del equipo.
Hay que incluir la identificación y contacto de:
- Delegado de Protección de Datos del centro donde se realizará la investigación.
- Responsable y encargado del tratamiento de los datos.
- Personas que tendrán acceso a los datos.
Licitud
Es preciso indicar la base normativa en la que se indique que es lícito usar esos datos para investigación. El proyecto ha de justificar el tratamiento de categorías especiales de datos personales. Igualmente, es preciso indicar el fundamento por el que se pueden usar esos datos para investigación sin el consentimiento informado de las personas interesadas.
Debe estar documentada la autorización del responsable de los datos para el uso de los mismos en ese proyecto de investigación, con especificación de los datos concretos a tratar.
Limitación
Compromiso de usar los datos exclusivamente con los fines de ese proyecto (o proyectos derivados compatibles, en cuyo caso ha de ser informado el responsable de los datos), quedando prohibido un tratamiento distinto al establecido en el protocolo.
En el caso de que se elaboren perfiles:
- Indicar las bases legales por las que se pueden elaborar.
- Mecanismos contemplados para evitar la discriminación de grupos o personas en cuanto a sexo, nivel cultural o económico etc.
- No decisiones automáticas sobre personas sin supervisión humana.
Minimización
Debe justificarse que todos los datos tratados son necesarios para alcanzar los objetivos de investigación, no utilizando datos que no tengan que ver con los objetivos.
Igualmente, debe justificarse que para alcanzar los objetivos, sea necesario: usar datos personales en lugar de seudonimizados, o datos seudonimizados en lugar de anónimos (y las escalas intermedias entre estas categorías).
Exactitud
Se deberán incluir el análisis de calidad de los datos y las medidas a tomar para evitar sesgos.
Conservación
Compromiso de que la identificación de los interesados no será mantenida más allá del tiempo necesario para los fines del tratamiento de los datos personales.
Indicar el periodo de almacenamiento y las personas que tendrán acceso a los datos, en cada uno de sus estadíos (personales, seudonimizados, anónimos etc).
Discriminación
Indificar cómo se trata de evitar en el proyecto que haya discriminación de las personas o los grupos, en función del sexo, clase social, nivel de estudios etc
Seguridad
Especificar las medidas técnicas y organizativas que se tendrán en cuenta para garantizar la seguridad de los datos.
Evaluación de Impacto en la Protección de Datos Personales:
Aunque de una forma no tan exhaustiva como la contemplada en la Guía práctica para las Evaluaciones de Impacto en la Protección de los datos sujetas al RGPD, debe evaluarse el impacto del proyecto en la protección de datos.
Medidas para evitar daños y salvaguarda de los derechos de los participantes.
Privacidad por defecto y por diseño: Detalles de las medidas técnicas y organizativas para evitar los daños y se salvaguardarán los derechos de los participantes de la investigación.
Indicar cómo pueden ejercer sus derechos (acceso, portabilidad, rechazo al tratamiento de datos…)
Infraestructura tecnológica
Indicar los equipos en los que se realizarán los tratamientos (serán dentro de instituciones sanitarias).
Indicar las normas de seguridad, accesos y su registro etc.
Datos
Especificar su procedencia y detalle de las variables incluidas. Especial consideración si proceden o se destinan fuera de la Unión Europea.
Especificar las medidas tomadas para velar por calidad, integridad y seguridad de los datos y permitir su segura transmisión, linkage y almacenamiento.
Detalles de las operaciones de procesamiento de datos.
Detalles de las técnicas de anonimización / pseudonimización. Los responsables de la anonimización y el análisis han de ser distintos.
Detalles de los métodos utilizados para elaborar perfiles y las medidas para evitar que los algoritmos discriminen o creen brechas de seguridad en la privacidad de las personas.
Detalles sobre los procedimientos para informar a los participantes de la investigación sobre el perfil, y sus posibles consecuencias y las medidas de protección.
Javier García León 