Autora: Aitziber Emaldi Cirión. Profesora Titular de Derecho Constitucional. Miembro del Comité de Ética de la Investigación. Universidad de Deusto. Correo electrónico: aitziber.emaldi@deusto.es.
Resumen: En el ámbito de la investigación biomedicina y de la salud, el tratamiento y la combinación masiva de datos representan oportunidades para generar conocimiento, para curar enfermedades y para mejorar la calidad de vida de las personas. Sin embargo, estas ventajas que aportan las nuevas tecnologías digitales, como el Big Data, pueden impactar de manera particularmente significativa en la esfera de los derechos fundamentales de las personas si estos no están claramente definidos y protegidos. Este estudio, aborda los derechos y los problemas derivados ante los que nos enfrentamos, en el marco del Reglamento de la UE y de la Ley española de protección de datos.
Palabras clave: Protección de datos; Big Data; investigación biomédica; privacidad; tratamiento de datos, Europa.
Abstract: In the field of biomedical and health research, processing data represents opportunities to generate knowledge, to threat diseases and to improve people’s quality of life. However, these advantages provided by new digital technologies, such as Big Data, can have an impact on people’s fundamental rights if they are not clearly defined and protected. This study addresses the range of rights that subjects have in relation to the processing of their health data, whether -personal, pseudonymised or anonymised data-, within the framework of the EU Regulation and the Spanish Data Protection Act.
Key words: Data protection; Big Data; Biomedical Research; Privacy; Data Processing, Europe.
Sumario:
I. Introducción.
II. El marco jurídico sobre el tratamiento y protección de datos personales: objeto y ámbito de aplicación del Reglamento General de Protección de Datos de 2016 y de la Ley Española LOPDGDD de 2018.
1. Tratamiento de datos.
A) Datos personales.
B) Datos anónimos y anonimizados.
C) Datos seudonimizados.
III. Tratamiento de categorías especiales de datos personales: el tratamiento de datos relativos a la salud y de datos genéticos.
1. Datos relativos a la salud.
2. Datos genéticos.
IV. Legitimación para el tratamiento de datos personales en investigación en salud.
1. El consentimiento expreso.
2. Habilitación Legal.
3. Seudonimización.
4. Reutilización de datos.
5. El uso de la tecnología Big Data aplicada a la salud: retos jurídicos, éticos y médicos.
V. Conclusiones.
Referencia: Actualidad Jurídica Iberoamericana Nº 14, febrero 2021, ISSN: 2386-4567, pp. 718-747
Revista indexada en SCOPUS, REDIB, ANVUR, LATINDEX, CIRC, MIAR.
I. INTRODUCCIÓN.
El impacto de las tecnologías de la información en los tratamientos de datos en el contexto de la investigación en salud ocupa un lugar esencial en el debate científico y jurídico actual.
Así, la Unión Europea aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esto datos y por el que se deroga la Directiva 95/46/CE –Reglamento General de Protección de Datos Personales (RGPD). Este Reglamento fue publicado el 4 de mayo de 2016 y entró en vigor veinte días después de su publicación habiéndose producido su recepción en el derecho interno desde entonces, por consiguiente, se desplazaba la normativa española que fuera incompatible con aquél. El Reglamento, estableció un plazo de 2 años a partir de la fecha de la entrada en vigor para el inicio de su aplicación, pero España, no pudo adaptar su normativa para dicha fecha y finalmente, fue el 6 de diciembre cuando se publicó le Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Esta normativa, junto con otras leyes sectoriales del ámbito sanitario, ofrece a los responsables de tratamientos de datos personales, una mayor seguridad jurídica sobre cuáles son sus obligaciones, y, sobre todo, cuáles son los derechos y el haz de facultades que tienen las personas sobre sus datos.
Paralelamente y también en el ámbito sanitario, la utilización de las tecnologías digitales y en concreto de la tecnología Big Data, permiten el tratamiento, la utilización y combinación de un volumen de datos impresionante. La gestión masiva de estos datos con fines de investigación biomédica junto con las herramientas informáticas pertinentes permiten hallar conclusiones e incorporar oportunidades nuevas para el diagnóstico y tratamiento -Considerando 157- pero también conlleva algunos planteamientos, retos jurídicos y riesgos sobre el derecho fundamental a la protección de datos personales y por ello, hay que tomar medidas para proteger los derechos e intereses de las personas, tales como la intimidad y a la autodeterminación informativa, no bastando sólo el consentimiento escrito y expreso del sujeto, ni la anonimización de datos ya que ésta no se puede garantizar que sea total con estas tecnologías como el Big Data o el Blockchain, que relacionan datos y por tanto, la reidentificación mediante inferencias o por vinculación con otros paquetes de datos personales se hace más fácil.
II. EL MARCO JURÍDICO SOBRE EL TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES: OBJETO Y ÁMBITO DE APLICACIÓN DEL REGLAMENTO GENERAL DE PROTECCIÓN DE PROTECCIÓN DE DATOS DE 2016 Y DE LA LEY ESPAÑOLA DE PROTECCIÓN DE DATOS Y GARANTÍAS DIGITALES DE 2018.
En el ámbito de la asistencia sanitaria y de la investigación en salud, son dos los derechos constitucionales principalmente afectados: el derecho fundamental a la intimidad personal –art. 18.1- y el derecho fundamental a la protección de datos – art. 18.4-. Este último artículo es el único precepto constitucional que incluye el término “informática”, con la intención de alertar al legislador sobre los peligros que ésta podía representar para el honor y la intimidad de los ciudadanos y se encomienda a la Ley, abiertamente “limitar su uso”.
Este derecho, no es absoluto y, de hecho, la limitación de su ejercicio viene dada de forma genérica por la propia Constitución en el art. 10.1, cuando se justifica en el orden público y en la paz social. Además, este derecho podía entrar en conflicto con otros derechos fundamentales, ya que en el ámbito de la salud, la investigación sanitaria, la salud pública y la asistencia sanitaria requieren la realización de tratamientos de datos personales para garantizar derechos constitucionales, tales como: el derecho a la vida –art.15-; el derecho a la protección a la salud –art. 43; la igualdad –art.14-; la libertad de creación científica y técnica –art. 20.1.d); la libertad de empresa –art.38- y así poder alcanzar intereses públicos y privados. En última instancia, la investigación en salud y la política sanitaria pretenden preservar el bien constitucional supremo del derecho a una vida digna.
En el caso de España, la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDGDD) completa las previsiones del RGPD en el marco del ordenamiento jurídico nacional y desarrolla el contenido mínimo del artículo 18 de la Constitución. De esta forma, se crea un marco jurídico sólido y común para la obtención, gestión y uso de datos que salvaguarde las libertades y derechos fundamentales de los ciudadanos, y en concreto su derecho a la protección de datos haciendo con ello posible que el sujeto realice un control efectivo de su privacidad. Así, tanto el Reglamento –art. 2.1-, como la LOPDGDD –art. 2.1- dicen expresamente que se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Por tanto, se exigen dos requisitos para que se dé el objeto del Reglamento y de la LOPDGDD y se delimite su ámbito de aplicación material: que exista un tratamiento y que éste se sustancie sobre datos personales.
1. Tratamiento de datos.
El RGPD define tratamiento como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” –art.4.2-. A la vista de este precepto, se pueden distinguir dos tipos de tratamientos de datos personales: a) los tratamientos automatizados en los que intervienen la informática o las tecnologías de la información y comunicación; y b) los tratamientos no automatizados que serían aquellos que afectan a la información clínica o asistencial sobre pacientes que aún se encuentra recogida en papel. El Reglamento, en su Exposición de Motivos justifica la inclusión de éstos últimos al decir que “A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él” –Considerando 15- y necesariamente, se define fichero como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica” –art.4.6-.
Sin embargo, la LOPDGDD, a diferencia del Reglamento, extiende su objeto más allá del derecho fundamental a la protección de datos personales porque trata de “garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el art. 18.4CE –art.1.b-
Además, observamos que hay diferentes tipos de datos según la naturaleza del estudio y sus objetivos y dicha tipología influirá a la hora de determinar si éstos entran dentro del ámbito de aplicación del Reglamento y de la LOPDGDD:
A) Datos personales.
El segundo elemento, mencionado anteriormente, que sirve para delimitar el ámbito de aplicación del Reglamento, es que el dato sea personal. La definición que se da al respecto es la siguiente: “toda información sobre una persona física identificada o identificable” –art. 4.1-. Por tanto, el presente Reglamento protegerá los derechos y libertades fundamentales de las personas físicas y en particular, su derecho a la protección de datos personales –art. 1.2- dejando fuera del ámbito de esta protección de datos, a las personas jurídicas y a las fallecidas -Considerando 27 y art. 2.2.b- de la LOPDGDD-.
B) Datos anónimos y anonimizados.
Son datos anónimos los no identificables en origen, es decir, los que fueron recogidos de este modo desde el principio. Por otro lado, los datos anonimizados son aquellos que en sus inicios fueron personales, pero con posterioridad se ha producido por cualquier circunstancia la destrucción del nexo de asociación entre los datos identificadores y los demás, así, estos datos desvinculan totalmente de los datos cualquier información directa o indirectamente identificativa, de manera que ya no sea posible relacionarlos con una persona determinada.
En ambos casos –datos anónimos y anonimizados- no se permite, por medios razonables, la identificación de la persona de la que provienen por lo que a partir de entonces dejarán de estar bajo la cobertura jurídica sobre protección de datos. Así lo afirma también el RGPD, en su Considerando 26 cuando hace referencia a los principios de protección de datos y dice que no deben aplicarse a la información anónima, ni a los convertidos en anónimos. Por tanto, el Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.
Además, hay que tener en consideración que la investigación llevada a cabo usando tecnología Big Data utiliza datos anónimos lo que conllevaría a no tener que ajustarse a las normas de protección de datos personales, sin embargo, el avance tecnológico en Big Data permite que los datos de diferentes fuentes se puedan cruzar y que datos inicialmente anonimizados o codificados se puedan reidentificar por los investigadores o por terceros.
Por tanto, la anonimización absoluta es algo prácticamente imposible, en la era del Big Data y del Cloud Computing, puesto que esos datos, una vez recabados, son almacenados en servidores con unas capacidades de almacenamiento sobredimensionadas y diseñadas para este cometido, lo que representa una amenaza real a la protección de datos y a la privacidad.
El uso de la tecnológica Big Data, hace impracticable la obtención del consentimiento informado de los sujetos, por ello, éste será un aspecto a tener en cuenta cuando los Comités de Ética de la Investigación evalúen los proyectos de investigación. Estos Comités tendrán que tener en consideración, para velar por la protección de datos de los sujetos, aspectos tales como: el cumplimiento de principios éticos que debe sustentar toda la investigación con seres humanos; la idoneidad del investigador; el cumplimiento de los aspectos relativos al tratamiento de datos de carácter personal; el cumplimiento de las garantías de obtención del consentimiento informado en el momento de la recogida de los datos, etc.
C) Datos Seudonimizados.
Como ya he mencionado anteriormente, el Reglamento establece que el dato personal es una información referida a una persona física identificada o identificable –Considerando 26- . Además, añade que será identificable toda personal cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo: un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica genética, psíquica, económica, cultural o social de dicha persona –art.4.1-. Además, El Considerando 26 establece que para saber si se puede identificar a esa persona se tendrán en cuenta factores objetivos, como el tiempo y el coste para hacer la identificación, teniendo en cuenta la tecnología disponible en el momento del tratamiento.
Paralelamente, el Reglamento define la seudonimización en su art. 4.5 como “El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”. Por consiguiente, la seudonimización consiste en desvincular de los datos cualquier información directamente identificativa, de manera que los investigadores no puedan relacionarlos con una persona determinada. Los datos de identificación personal serán sustituidos por un código, que los investigadores no deberán descifrar. Además, éstos se comprometerán a no identificarle por ningún medio. La clave para vincular de nuevo los datos con una persona determinada estará únicamente a disposición del centro donde se obtuvieron los datos clínicos, aunque estos datos gocen, sin dudarlo, de la aplicación de los principios de la protección de datos personales.
Así, los datos seudonimizados son datos personales porque son considerados “identificables”, por lo que se le aplica la normativa de protección de datos: El Reglamento y la Ley interna LOPDGDD, aunque con las excepciones que la propia normativa establezca.
Esta idea se recoge también en el Considerando 26 del RGPD donde se establece que los datos personales seudonimizados, es decir los datos que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable.
A la vista de lo anterior, la seudonimización es un recurso para hacer posible la efectividad de las excepciones a las garantías previstas sobre los datos personales relativos a la salud y a los datos genéticos cuando se prevé el tratamiento con fines de archivo, de interés público, fines de investigación histórica y científica o fines estadísticos, de modo que se logren los objetivos propuestos. Es decir, la seudonimización facilita la investigación en salud pública, en particular, la investigación biomédica, sin el consentimiento explícito del sujeto, pero tomando medidas de seguridad para evitar la reidentificación siendo posible únicamente reidentificar a la persona cuando se aprecie un peligro real para su seguridad o su salud o sea necesario garantizarle asistencia sanitaria –DA 17.2.d-. Por consiguiente, estos preceptos permiten tratar los datos con finalidades de investigación de forma seudonimizada siempre que la normativa interna de los Estados lo permita y en concreto, en España la LOPDGDD en su Disposición Adicional 17.d) lo concreta al establecer las condiciones precisas que permiten el uso de datos seudonimizados para investigación, tales como: a) tener una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conserven la información que posibilita la reidentificación; b) comprometerse a no realizar ninguna actividad de reidentificación; c) asumir un compromiso expreso de confidencialidad; d) tomar medidas de seguridad para evitar la reidentificación y el acceso de terceros no autorizados; e) disponer de un informe previo de un Comité de Ética de la Investigación o bien en su defecto, de un delegado de protección de datos o un experto conocimientos en la materia.
Y además, en este sentido el Reglamento establece otros requisitos adicionales al uso de estos datos en proyectos de investigación o con fines de investigación, entre los que se encuentran: a) realizar, antes del tratamiento, evaluaciones de impacto que determinen las probabilidades de los riesgos derivados del tratamiento de datos teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento, incluso, dicha evaluación debe incluir de modo específico los riesgos de reidentificación vinculados a la anominización o seudonimización de los datos –art.35-. Además, para reforzar esta cautela, el Reglamento prevé que el Responsable consulte a la autoridad de control competente antes de iniciar las actividades de tratamiento en el caso de que la evaluación de impacto muestre que sí existe ese riesgo de limitar la protección de datos –art.36-.; b) someter la investigación a las directrices internacionales sobre buena práctica clínica; c) garantizar que los investigadores no accedan a datos de identificación de los interesados; d) prever el previsión de nombramiento de un delegado de protección de datos; e) elaborar de códigos de conducta y esquemas de certificación; f) consultar a las autoridades de control y la notificación de los incidentes y brechas de seguridad, etc..
A la vista de esta normativa, se pueden sacar varias conclusiones o percepciones: a) que cualquier tipo de datos de salud que sea seudonimizado se puede usar para investigación, aunque ello dejara en una situación poco garantista a los derechos del sujeto; y b) que se pueden utilizar datos de forma seudonimizada para finalidades de investigación siempre que exista una habilitación legal para ello adicional a la previsión en la Disposición Adicional 17.2.d). En definitiva, la base del tratamiento de datos para investigación sería la habilitación legal junto con la seudonimización de los datos recogidos en la historia clínica, dejando de lado el consentimiento por línea de investigación, al que nos referiremos más adelante.
I
II. TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES: EL TRATAMIENTO DE DATOS RELATIVOS A LA SALUD Y DE DATOS GENÉTICOS.
A nivel Europeo, el marco jurídico que instauró la ya derogada Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre protección datos llegó a ser insuficiente para hacer frente a los avances tecnológicos en el tratamiento de datos y lo mismo ocurrió con el Convenio de Oviedo.
Tras la aprobación del RGPD, se sigue la misma línea de la normativa anterior en relación con el “tratamiento de categorías especiales de datos personales” y de hecho, define dichas categorías como “aquellas que revelen el origen étnico o racial las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física –art.9.1-. Esta redacción es más amplia que la aparecida en la Directiva que le precedió y fue derogada e introduce como novedad la inclusión de los datos genéticos y de los datos biométricos dentro de esta categoría especial de datos que serán “especialmente protegidos”. De esta forma, el Reglamento, diferencia los datos genéticos de los datos de salud, aunque de alguna manera estén relacionados.
Además, dice el Reglamento, que el tratamiento de esta categoría especial de datos personales podrá llevarse a cabo, sin el consentimiento del paciente, con finalidades tales como: a) finalidad sanitaria, en cuyo caso, el tratamiento lo realizará un profesional sujeto al secreto –art. 9.3-; b) finalidad de salud pública, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos y productos sanitarios con la intención de proteger los derechos y libertades del interesado –art. 9.2.i)-.
1. Datos relativos a la salud.
A parte de la normativa interna de los países miembros sobre la protección de datos, el RGPD ofrece un régimen reforzado para el tratamiento de los datos de salud y los define como “aquellos datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” –art.4.15-. Es decir, el Reglamento, a diferencia de la normativa anterior, considera la “atención sanitaria” como un dato de salud y de hecho, en el Considerando 35 precisa esta cuestión cuando recoge que se incluya la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, tal como: el número asignado a una persona y que pueda identificarle; la información resultante de pruebas de una parte del cuerpo como pueden ser los datos genéticos y muestras biológicas; información sobre el riesgo de padecer una enfermedad, el historial médico, etc.
El Reglamento, asimismo, en su art. 9, al referirse a la categoría especial de datos personales, establece en términos muy amplios y, como regla general, la prohibición del tratamiento de datos personales que revelen el origen étnico, o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos y de datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona”. Son datos que, de conocerse por terceras personas sin haberlo consentido el sujeto, podrían violar, entre otros: el derecho a la no discriminación, el derecho a la intimidad, el derecho a la libertad religiosa o el derecho a la salud del sujeto a quien pertenecen.
No obstante, el RGPD en ese mismo art. 9, establece que esta prohibición del tratamiento de categorías especiales de datos personales, no será de aplicación cuando concurran determinadas circunstancias, entre otras:
A) Que el interesado haya prestado su consentimiento para el tratamiento de sus datos personales. Este consentimiento para el tratamiento de los datos de salud de un sujeto, tendría que ser: a) Consentimiento explícito, con uno o más fines especificados. El consentimiento podría otorgarse a través de una declaración por escrito, incluso, por medios electrónicos, o una declaración verbal para cada uno de esos fines específicos –art. 4.11, art.9.2.a) y Considerando 32-; b) Consentimiento libre tomado por el sujeto sin ningún tipo de vicio o coacción –art.4.11; c) Consentimiento específico, tanto para llevar a cabo un acto médico como para poder tratar los datos personales para la asistencia sanitaria del sujeto o para la investigación –art. 7.2 y art. 8.2-y Considerando 32; d) Consentimiento inequívoco, otorgado tras recibir una información previa inteligible, utilizando un lenguaje claro y sencillo –art.7.2-; e) Consentimiento revocable, ya que el sujeto podría revocarlo en cualquier momento. No obstante, la retirada de dicho consentimiento, en el ámbito de la investigación no afectará a la licitud del tratamiento basado en el consentimiento hasta ese momento –art.7.3-.
Lo que se pretende con este Reglamento es que el derecho fundamental a la protección de datos personales redunde también en la salvaguardia de otros derechos fundamentales: derecho a la intimidad, a la libertad religiosa, la libertad sindical y el derecho a la no discriminación. Por ello, para legitimar el tratamiento de datos personales relativos a la salud es necesario el consentimiento del sujeto. Dicho consentimiento deberá ser un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado y además, que pueda revocarse en cualquier momento. –Considerando 32 que interpreta el art.4.11 y art.7-.
B) Que el tratamiento de datos personales relativos a la salud sin obtener el consentimiento del sujeto, sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
C) Que el tratamiento de datos personales relativos a la salud sin obtener el consentimiento del sujeto, sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
D) Que el tratamiento de datos personales de salud sin obtener el consentimiento del sujeto, sea necesario por razones de un interés público esencial, para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social –art.9.2.h)-.
E) Que el tratamiento de datos personales de salud sin obtener el consentimiento del sujeto, sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
F) Que el tratamiento de datos personales, sin obtener el consentimiento del sujeto, sea necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos. Finalidades éstas compatibles con los fines iniciales, lo que supone una excepción al principio de limitación de la finalidad –art.5.1- y, además, finalidades que permiten que los datos personales sean conservados durante periodos más largos de tiempo del necesario para los fines del tratamiento inicial, lo que supone una excepción del principio de limitación del plazo de conservación siempre que se traten para fines de investigación –art.5.1e)-.
Además, aparte de lo establecido en el RGPD para desarrollar las condiciones específicas del tratamiento de datos con fines de investigación biomédica también hemos de recurrir a la LOPDGDD y a la Ley 14/1986, de 25 de abril, General de Sanidad en un nuevo capítulo –“Tratamiento de datos en la investigación en salud” -Título VI-. En definitiva, una importante autorización que presenta la normativa consiste en dotar a la investigación científica de base legal específica para el tratamiento de datos sin necesidad de otra justificación que la satisfacción del interés legítimo –art. 6.1.f) y Considerando 47-.
2. Datos genéticos.
Como ya se ha dicho la DA 17ª de la Ley española LOPDGDD, no regula todos los tratamientos de categorías especiales de datos personales sino sólo de los datos de salud y también de los datos genéticos, que entrarían dentro de los datos de salud. De hecho, existe una serie de características esenciales que tienen los «datos genéticos» que permiten distinguirlos de los datos relativos a la salud o datos médicos:a) Los datos genéticos son únicos y específicos para cada individuo, lo que les permite identificar inequívocamente al interesado; b) Los datos genéticos proporcionan información sobre la configuración genética de la persona, y por tanto, de su grupo biológico; c) Los datos genéticos proporcionan información sobre los miembros de su familia biológica, incluidos los parientes fallecidos y no nacidos; d) Los datos genéticos se refieren también a la comunidad étnica del interesado, con quien éste comparte ciertas características genéticas; e) Los datos genéticos son estructurales, inmutables e indestructibles y permanecen estables desde la etapa embrionaria hasta después de la muerte;f) La información está contenida en todas y cada una de las células del cuerpo; g) Se trata de datos predictivos que proporcionan información sobre un gran número de enfermedades, afecciones, síndromes o, incluso, predisposiciones.
Se aprecia, la gran atención que dedica el RGPD a los datos personales relativos a la salud, pero, además, por primera vez y de manera expresa, la legislación europea, hace referencia a los datos genéticos. Así, el RGPD define los datos genéticos como “Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona” -art. 4-. Así mismo, el Considerando 34 del RGPD completa la definición al decir que dichos datos genéticos puede provenir de: “el análisis de una muestra biológica de la persona física en cuestión, en particular a través de un análisis cromosómico, un análisis del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN), o del análisis de cualquier otro elemento que permita obtener información equivalente”.
A la vista de estas definiciones, se puede afirmar que éstas presentan algunas deficiencias importantes, tales como: a) Que los datos genéticos proporcionan información no sólo sobre una persona sino sobre su familia biológica e, incluso, sobre un grupo étnico. Este hecho, podría implicar que puesto que la información es compartida, la familia o el grupo étnico podrían tener algún tipo de derecho sobre la información obtenida (derechos de acceso, rectificación, cancelación) sin embargo, salvo que les afectara gravemente a su salud y lo descubierto tuviera terapia, se puede considerar que el hecho de compartir información genética no significa que les legitimen a todos los sujetos para exigir derechos; b) Que los datos genéticos no sólo proporcionan información sobre la fisiología y la salud de la persona sino que también contiene información sobre sus vínculos familiares y su origen étnico; c) Que los datos genéticos sean el resultado, en particular, del análisis de una muestra biológica. Parece que el RDPD excluye el hecho de que también se puedan obtener a partir de un examen físico, el análisis de la historia clínica, las radiografías, las determinaciones bioquímicas que no necesariamente analizan el material biológico. Por tanto, se deben proteger los datos genéticos con independencia del método por el que se hayan obtenido. En virtud de estos razonamientos se puede considerar que la definición aportada en este art.4 del Reglamento no es tan precisa como debiera de haber sido lo que puede provocar en un futuro, inseguridad jurídica y problemas de interpretación al aplicar la norma.
El RGPD incluye estos datos genéticos en el grupo de “categorías especiales de datos”, es decir “datos personales que, por su naturaleza, particularmente sensibles en relación con los derechos y libertades fundamentales merecen una protección específica, ya que el contexto de su tratamiento podría crear riesgos significativos para los derechos y libertades fundamentales -Considerando 51-. Cuando el legislador habla de “riesgos” se debe entender que la divulgación sin control de este tipo de datos podría afectar y violar derechos fundamentales del sujeto fuente o de sus familiares biológicos, reconocidos en la Constitución Española, tales como el derecho a la intimidad -art. 10-, la no discriminación -art. 14-, o el derecho a la salud-art. 43-.
El hecho de estar incluidos en esta categoría, les otorga un mayor grado de protección en virtud del art. 9 del Reglamento, donde se estipula un tratamiento especial para los mismos y así, prohíbe su tratamiento salvo que cuente, previamente, con el consentimiento del sujeto o bien cuando concurran otras circunstancias, tales como: a) que el tratamiento sea necesario para fines de medicina preventiva o laboral; b) que se evalúe la capacidad laboral del trabajador; c) que sea para ofrecer un diagnóstico médico; d) para la prestación de asistencia o tratamiento de tipo sanitario o social; e) cuando sea para gestionar los sistemas y servicios de asistencia sanitaria y social; f) cuando el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud; y g) para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. Estas circunstancias que permiten el tratamiento de los datos bajo unas premisas, por parte de los profesionales del ámbito de la salud se han recogido en la norma con el objeto de buscar un interés social por encima del individual y para ello, se han relajado ciertos requisitos, tales como, el consentimiento del sujeto.
En definitiva, el nuevo escenario se asienta, en dos pilares: a) la legitimidad del tratamiento exige que el responsable implante medidas técnicas y organizativas adecuadas al contexto del tratamiento, lo cual va más allá de la exigencia de consentimiento expreso y específico del sujeto; y b) que se imponga la intervención de organismos independientes de revisión como, por ejemplo, los Comités de Ética de la Investigación para verificar la legitimidad del tratamiento en cada supuesto concreto.
IV. LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES EN INVESTIGACIÓN EN SALUD.
Antes de adentrarnos en los distintos supuestos de legitimación para el tratamiento de datos hemos de precisar que el Reglamento separa los criterios de legitimación del tratamiento para los fines de asistencia sanitaria y salud pública –art. 9.2h) y art. 9.2.i)- que velan por el derecho a la vida y a la salud del sujeto, de los criterios de legitimación del tratamiento para fines de investigación en salud –art.9.2.j)-, siendo más exigente el legislador, a la hora de exigir garantías y requisitos para los tratamientos con finalidad de investigación en salud.
De hecho, el Reglamento autoriza el tratamiento de categorías especiales de datos personales para fines de investigación en salud pero exige, a tal efecto, que se cumplan las siguientes garantías –art.9.2.j)-: a) Que el tratamiento se haga sobre la base del Derecho de la Unión o de los Estados miembros, para lo que será necesario que se aprueben leyes al respecto –art.9.4-; b) Que el tratamiento de estos datos sea proporcional al objetivo perseguido en la investigación sanitaria que se quiera desarrollar; c) Que se respete el derecho a la protección de datos personales; d) Que se establezcan las medidas pertinentes para proteger libertades y derechos fundamentales.
Sin embargo, el Reglamento no se queda satisfecho con estas garantías y añade alguna más en el art. 89.1 cuando la finalidad del tratamiento sea para desarrollar una investigación científica: a) Que se tomen medidas técnicas y organizativas para garantizar el principio de minimización de datos personales, entre las que se encuentra la “seudonimización”; b) Que se respete el principio de calidad de los datos. Esto significa que para alcanzar el interés público de una investigación sanitaria se intentarán manejar, en un principio, datos no personales, si ello no es suficiente para conseguir dicha finalidad, se utilizarán datos personales seudonimizados y finalmente, si con este tipo de datos no se puede alcanzar la finalidad perseguida, entonces se utilizarán el menor número posible de datos personales –art.5-.
No obstante, llama la atención que por una parte el Reglamento exige muchas garantías para proteger los derechos de los sujetos cuando se traten datos con fin de investigación científica, por el contrario, deja un margen a los Estados para que puedan, a su vez, limitar otros derechos –derecho de acceso, derecho de rectificación, derecho a la limitación del tratamiento, derecho de oposición –art.89.2-.
1. El consentimiento expreso por línea o área de investigación.
El consentimiento que se debe otorgar para permitir el tratamiento de datos, vemos que ha ido cambiando con la nueva normativa. De hecho, hace años se necesitaba el consentimiento expreso del sujeto fuente para un proyecto de investigación concreto no bastando los consentimientos abiertos para proyectos relacionados con una misma enfermedad o área de investigación. No obstante, en la actualidad, con el Reglamento se admite la posibilidad de que el consentimiento se otorgue a un área de investigación: “Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la dicha investigación. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida” -Considerando 33-.
A la vista de esta normativa se puede apreciar que se admite el consentimiento para el uso de los datos de salud y de datos genéticos en el ámbito de la investigación biomédica mediante la obtención de un consentimiento con fines de investigación en salud que abarque categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora. Este consentimiento debería ser explícito e inequívoco, pero no para una concreta investigación, sino que puede abarcar áreas generales vinculadas a las especialidades médicas e investigadoras.
Además, la Ley prevé en qué momento se puede dar ese consentimiento explícito y así la Disposición Adicional 17.2a). regula el supuesto de un consentimiento explícito ab initio para fines de investigación en salud que abarquen áreas generales vinculadas a especialidades médicas o investigadoras y la previsión del apartado 2.c) está destinada a permitir que un consentimiento explícito para una investigación concreta pueda a posteriori permitir la licitud de tratamientos con fines de investigación en salud relacionados con el área en la que se integró el estudio inicial para el cual se prestó el consentimiento en cuyo caso se tendrá que proporcionar al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional como por ejemplo: la identidad y los datos de contacto del responsable; los datos de contacto del delegado de protección de datos; los fines del tratamiento; los destinatarios de los datos; la intención o no de transferir los datos a terceros países, el plazo de conservación; la existencia de un derecho de acceso, rectificación, supresión, limitación, entre otros-art.13.1 y 2-. Y además, se añade otra garantía a través de la Ley de Investigación Biomédica cuando se exige para este tratamiento de datos a posteriori, un informe previo favorable del Comité de Ética de la Investigación.
Por otra parte, cuando los investigadores quieran usar datos anonimizados procedentes de otras investigaciones o bien resultantes de la asistencia sanitaria, y no tengan el consentimiento para su utilización en investigación, un Comité de Ética de la Investigación podría considerar la exención del mismo en varios casos: 1) cuando la investigación no pudiera realizarse sin dicha exención; 2) la investigación tenga un valor social importante; y 3) cuando la investigación suponga un riesgo mínimo a los participantes.
En definitiva, el modelo tradicional de consentimiento informado se ha vuelto inadecuado para los proyectos de investigación en salud, sobre todo cuando se mezclan gran cantidad de datos gracias a las nuevas tecnologías digitales, por lo que se ha de tender a hacia modelos de consentimiento amplios que incluyan sistemas de gobernanza representativos.
Estos sistemas deben facilitar los medios para que participantes, titulares de los datos y ciudadanos puedan codirigir las operaciones de estos proyectos, comunicar su voluntad y mantener cierto nivel de control sobre sus datos personales a través del tiempo. En otras palabras, es necesario implementar estructuras de gobernanza que permitan extender el concepto tradicional de consentimiento. Esto requiere que el consentimiento sea participativo.
2. Habilitación legal.
Será lícito el tratamiento de datos de salud y datos genéticos para la investigación en salud cuando exista una habilitación legal al respecto. En este sentido, tanto en virtud del art. 9.2.i) y j) del RGPD, como en virtud de la Disposición Adicional 17.2.b) de la Ley se habilita este proceder al estipular que “las autoridades sanitarias e instituciones públicas con competencias en vigilancia de salud pública podrán llevar a cabo estudios científicos sin consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública”. No obstante, hay que hacer una puntualización ya que esta habilitación normativa sólo cubre a las Administraciones Públicas, en concreto a las autoridades sanitarias y las instituciones públicas con competencia en vigilancia de la salud pública y no a las empresas privadas de la industria farmacéutica.
3. Seudonimización.
La seudonimización, sería el tercer supuesto de licitud del tratamiento de datos de salud y de datos genéticos, sin consentimiento del interesado, para utilizarlos en una investigación en salud. Como ya se ha explicado anteriormente, la Ley recurre a la seudonimización como una garantía de protección de los derechos de los sujetos y, además, exige:
a) Que exista una separación técnica y funcional entre el equipo investigador y quienes realizan la seudonimización y conserven la información que posibilite la reidentificación, por los riesgos que ello pudiera implicar para los derechos de los sujetos –Considerando 75-
b) Que los miembros del equipo investigador no puedan acceder a los datos seudonimizados salvo que exista un compromiso de confidencialidad expreso de no realizar ninguna actividad de reidentificación y, además, será necesario adoptarán medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados, salvo que existiera un peligro real y concreto para la salud del interesado o una amenaza grave para sus derechos o para ofrecerle una adecuada asistencia sanitaria.
4. Reutilización de datos.
La posibilidad de que se reutilicen datos a posteriori para otra investigación o finalidad distinta con la que se recabaron está recogida en la actual normativa. Sin embargo, las condiciones de reutilización serán diferentes si los datos fueron recogidos antes o después de la entrada en vigor de la LOPDGDD. De hecho, los requisitos, son más exigentes para los datos recogidos con posterioridad a la entrada en vigor de la ley y así lo establece la normativa:
a) Se permite la reutilización de datos de salud provenientes de proyectos de investigación preexistentes recogidos “antes de la entrada en vigor de la LOPDGDD” siempre que los estudios se encuentren en la misma área de investigación o esté relacionada con la misma -Disposición Transitoria 6, LOPDGDD-. En estos casos, no se exige ni la autorización del tratamiento por un Comité de Ética de la Investigación, ni el derecho de acceso a la información que pudiera tener el sujeto.
b) Se permite la reutilización de datos de salud provenientes de proyectos de investigación preexistentes, con fines de investigación en materia de salud y biomédica recogidos “después de la entrada en vigor de la LOPDGDD”, de acuerdo con la Disposición Adicional 17.2c). En este caso, se permite utilizarlos cuando se hubiese obtenido el consentimiento para una finalidad concreta, y se utilicen tales datos para finalidades o áreas de investigación relacionadas con la especialidad médica o investigadora en la que se integrase científicamente el estudio inicial. No obstante, para estos supuestos, la normativa con el objeto de garantizar que se respeten los derechos de los sujetos, exige: Primero, que se informe a los titulares de esta circunstancia a través de la página web del centro que realiza la investigación o bien en la web del promotor que la desarrolla, por medios electrónicos o por medio de otros formatos. Lo importante es que el sujeto sepa para qué se están utilizando sus datos. En segundo lugar, la Ley exige que esta nueva investigación tenga el dictamen favorable del Comité de Ética de Investigación. Incluso, este Comité, podrá admitir la exención de consentimiento informado cuando se plantee el uso de datos personales seudonimizados y se cumplan unas garantías específicas para este grupo de datos, a las que ya se ha hecho referencia anteriormente.
A la vista de ello, hemos de decir que aun cuando la normativa estipula diferentes requisitos para la protección de datos, según cuándo hayan sido recabados los mismos –antes o después de la entrada en vigor de la LOPDGDD- los derechos de los titulares deberían ser los mismos con independencia del momento en el que los datos fueron recogidos. De esta manera, tal y como describen las pautas éticas internacionales -Declaración de Helsinki-, la reutilización con fines de investigación en salud y biomédica de datos personales, recogidos lícitamente con anterioridad a la entrada en vigor de esta ley, deberían ser, igualmente: evaluados por un CEI, y se debería garantizar el derecho del titular de los datos a recibir información sobre el uso de los mismos.
c) Asimismo, se permite la reutilización de datos resultantes de las historias clínicas de los pacientes para desarrollar una investigación en base a la Disposición Final Novena de la LOPDGDD que modifica la el art. 16.3 de la Ley 41/2002 de autonomía del paciente y respetando asimismo la Ley 14/1986 General de Sanidad. En efecto, con este nuevo articulado se permite utilizar aquéllos datos cuando se tomen garantías para proteger al sujeto fuente, tales como: preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.
d) Se permite reutilizar los datos de salud pública para investigación siempre que exista una situación grave y de relevancia. En efecto, de acuerdo con la Disposición Adicional 17.2.b) las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.
5. El uso de la tecnología Big Data aplicada a la salud: retos jurídicos, éticos y médicos.
El impacto de las nuevas tecnologías de la información en los tratamientos de datos de salud en el contexto de la investigación ha ocupado un lugar preeminente en el debate científico, ético y jurídico. No obstante, no es posible entender las implicaciones jurídicas que plantea el uso de Big Data sin una somera descripción de estas tecnologías.
El término Big Data no viene definido en el Reglamento pero puede definirse como “un paradigma para hacer posible la recopilación, el almacenamiento, la gestión el análisis y la visualización, potencialmente en condiciones de tiempo real, de grandes conjuntos de datos con características heterogéneas” o bien como “el conjunto de tecnologías, algoritmos y sistemas empleados para recolectar datos a gran escala y variedad y a la extracción de información de valor mediante sistemas analíticos avanzados soportados por computación en paralelo”. De hecho, existe el acuerdo de explicar el concepto Big Data mediante las cinco características principales que tienen asociadas y que se agrupan en el llamado Data Domain:
1) Velocidad: Una de las características esenciales de Big Data es la enorme velocidad en la generación, recogida y proceso de la información.
2) Volumen masivo de datos: Esta masiva cantidad de datos se acumula con un crecimiento exponencial, ampliando continuamente la estructura de almacenamiento de datos existentes.
3) Variabilidad: elevada capacidad de agregar información procedente de una amplia variedad de fuentes de información independientes, como redes sociales, sensores, máquinas o personas individuales.
4) Valorización: creación de una ventaja competitiva distintiva que presupone una buena comprensión de las expectativas y necesidades del cliente.
5) Veracidad: el Big Data ha de ser capaz de tratar y analizar inteligentemente el gran volumen de datos con la finalidad de obtener una información verídica y útil que permita mejorar la toma de decisiones.
El objetivo primordial es relacionar datos de muy diversa índole – anónimos, personales, seudonimizados-, con una enorme velocidad en la recogida y procesado de la información y al mismo tiempo afrontar el análisis para obtener conclusiones que sería imposible obtener con un reducido número de datos. Todo este proceso queda englobado en el -Machine Learning- que puede ayudar a identificar enfermedades, predisposiciones a desarrollar enfermedades, patrones o perfiles personales dependiendo del tipo de análisis que realice:
A) Modelos predictivos; B) Modelos descriptivos; o C) Modelos de decisión. Cada modelo puede ayudar en planos distintos de la investigación en salud y en la gestión de los sistemas sanitarios, lo que supone un gran avance en la Medicina predictiva y preventiva.
No obstante, este avance también plantea retos jurídicos que tienen que ver con la protección de datos y la posible violación de derechos y libertades fundamentales, como: el derecho a la intimidad, el derecho a la salud o el derecho a la vida.
En el ámbito sanitario, hemos de hacer referencia a los posibles retos derivados de relacionar datos masivos ya que ello, puede suponer una amenaza para la privacidad de los sujetos de quienes proceden los datos pero a la vez puede conllevar unas consecuencias altamente positivas en el avance médico:
a) Riesgo de disponer de información voluminosa sobre el paciente. Este hecho, requerirá decidir si se transmite la misma al sujeto, como medida preventiva, terapéutica o bien para informarle de las investigaciones en las que participa con sus datos. Además, hay que añadir el posible riesgo de perder dicha información o de que ésta sea robada o bien que se tengan en cuenta los indicadores biológicos por encima del bienestar del sujeto.
b) Riesgo de identificar o de volver a identificar –reidentificar- con relativa facilidad datos anónimos o que han sido anonimizados o seudonimizados, como pertenecientes a una persona determinad. Utilizando la tecnología del Big Data, no es necesario emplear mucho tiempo ni un coste desproporcionado para que una información aparentemente disociada o incluso, anonimizada, pueda convertirse en un dato de una persona identificable, siendo posible la re-identificación del sujeto para poder tratarle si los resultados tienen relevancia en su salud o bien para utilizar sus datos en una investigación.
c) Riesgo en relación con la veracidad de la información ya que la información proveniente de la tecnología Big Data, puede que no tenga el mismo rigor científico que la derivada de la aplicación de análisis clínicos controlados y analizados.
d) Riesgo de crear una nueva “brecha entre los ciudadanos” ya que el Big Data favorecerá a aquellos que están más interconectados digitalmente, lo que provocará desigualdades en el ámbito sanitario.
e) Riesgo derivado del exceso de biomonitorización y la toma de decisiones clínicas basadas exclusivamente en procesos de automatización o en perfiles obtenidos de pacientes, podrían limitar o afectar su autonomía de la voluntad y la toma de decisiones.
f) Riesgo en la toma de decisiones por parte del profesional sanitario. La tendencia al automatismo en la toma de decisiones cuando se basan en propuestas algorítmicas del sistema de inteligencia artificial que pueden anular las decisiones de los profesionales.
g) Riesgo de elaboración de perfiles personales. Esto implica encuadrar a una persona en función del resultado del tratamiento informatizado de sus datos, en un grupo concreto al que se le atribuyen unos comportamientos futuros, lo que puede incluir a las personas en categorías predeterminadas sin que éstas tengan conocimiento de ello e incluso, la atribución de perfiles puede generar datos personales no proporcionados por el afectado.
En estos casos, los riesgos de clasificar o estratificar a los pacientes en grupos de acuerdo con los perfiles personales es que: a) se pueden tomar decisiones discriminatorias o arbitrarias basadas en los perfiles; y b) se pueden violar derechos de los sujetos como el de discriminación o la intimidad. Debido a la posibilidad de que se corran estos riesgos, se recoge en el Reglamento el derecho del sujeto a no ser objeto de una decisión basada únicamente en un tratamiento automatizado –art. 22-. En definitiva, se trata de proteger la privacidad y la protección de datos como derechos fundamentales frente a la evolución tecnológica.
h) Finalmente, otra cuestión que es debatida por los autores y que ha de reflexionarse sobre ella, radica en la duda de si para el proceso mismo de seudonimización es necesario el consentimiento del interesado; o si no requiere dicho consentimiento. Esto es, mientras estos procesos de seudonimización o anonimización se culminan o, incluso antes de que se inicien, nos encontramos ante verdaderos datos de carácter personal, y por tanto, atribuibles a una persona identificada o identificable, por lo que no cabe duda de que su tratamiento requiere también para que sea legítimo, el consentimiento del interesado, a salvo de situaciones específicas que contemple la norma.
Aun cuando se aprecian posibles riesgos inherentes a esta tecnología Big Data, sin embargo, estamos ante el comienzo de una verdadera revolución en ámbitos tales como, la investigación clínica, la epidemiología, la monitorización, la farmacología, ya que las consecuencias transformadoras podrían ser muy positiva, entre las que destacan:
i) La transformación de datos en conocimiento: Las nuevas tecnologías y el Big Data, pueden analizar de manera no causal grandes volúmenes de datos que enriquecerán el conocimiento, sobre todo, en el área de la genómica.
j) El aprovechamiento de la información: La información en Big Data se recoge de una manera sencilla, en muchos repositorios y sin finalidad inmediata por lo que la capacidad de análisis de los datos será mayor y tendrá que pensarse para qué se puede utilizar en un futuro en los que, además, existirán colaboraciones científicas. Hay que reflexionar sobre este aspecto tanto si estamos en el ámbito de la investigación pública como privada.
k) Novedosos instrumentos para los profesionales de la salud: los profesionales sanitarios –médicos e investigadores-, dispondrán de nuevos conocimientos sobre la epidemiología, las patologías, los tratamientos, los fármacos, que redundarán en una mejor y más precisa asistencia sanitaria.
l) Promoción de la medicina del futuro: el Big Data, promoverá una nueva medicina predictiva, ya que los ciudadanos dispondremos de sensores biosanitarios que permitirán a las personas conocer mejor su estado de salud, lo que conllevará a tomar medidas de protección de datos al respecto.
En definitiva, para poder ofrecer una atención sanitaria de alta calidad a un precio asequible será necesario la digitalización de la salud y el uso de estas tecnologías, pero también se exigirá a los profesionales, los gestores y los propios pacientes que modifiquen sus hábitos buscando un modelo de interacción. Por ello, salvo que las autoridades de protección de datos admitan que la investigación científica en salud constituye por sí misma un supuesto de interés legítimo, la tecnología Big Data en salud, encontrará barreras en la Unión Europea.
V. CONCLUSIONES.
1ª) En relación con el consentimiento para el tratamiento de datos especialmente sensibles hemos de plantearnos si, en la actualidad, dicho consentimiento se está recabando adecuadamente, cuando por defecto el tratamiento de estos datos está prohibido. La normativa garantista que ofrece el Reglamento, no protege al ciudadano de todo riesgo aparejado con el tratamiento de datos. En el ámbito de la salud, el consentimiento informado para una investigación concreta se ha vuelto inadecuado en la era de la tecnología del Big Data donde se relacionan todo tipo de datos. Por tanto, lo importante sería potenciar que el sujeto tuviera un auténtico control de sus datos, implementando estructuras de gobernanza que permitieran extender el concepto tradicional de consentimiento para que este fuera actual, responsable, comprometido con la investigación y participativo. En definitiva, promover el control sobre los propios datos como un verdadero ejercicio de los derechos fundamentales del sujeto.
2ª) Los Comités de Ética de la Investigación, deberán tomar medidas para adaptarse a la nueva normativa ya que la misma exige, entre otras cautelas, que exista la figura del Delegado de protección de datos o un experto con conocimientos suficientes del Reglamento en cada Comité de Ética. Debería, cuanto antes, cumplirse con esta exigencia y formar profesionales con dichas competencias.
3ª) En un futuro desarrollo normativo sobre la investigación biomédica sería conveniente que, de manera institucionalizada, se controlara a los responsables del tratamiento de datos para que éstos hagan respetar los derechos de autodeterminación informativa de los interesados. Podría ser buen momento para asignar dicha facultad de control a los Comités de Ética de la Investigación.
4º) Se debería asegurar y verificar si las empresas que recogen datos de salud, están implementando políticas efectivas de Privacy by design, es decir, protección de datos desde el diseño inicial del proyecto y por defecto, tales como la seudonimización, o la minimización de datos, como exige el Reglamento – art.25-. Todo hace pensar que, en estos momentos, con el empleo de la tecnología del Big Data y el Blockchain existe lagunas y falta de protección suficiente que deberá corregirse y adaptarse en el ámbito de la salud. Para ello, deberá elaborarse un procedimiento adecuado, transparente y seguro, en el contexto de un marco ético y jurídico que garantice la mayor protección del sujeto en el tratamiento de datos de carácter personal.
5ª) Algunos aspectos importantes siguen pendientes de regulación, como las garantías de los titulares de los datos, obtenidos antes de entrar en vigor la LOPDGDD, cuando se plantea su posterior reutilización con fines de investigación. Se deberían equiparar las exigencias para proteger los datos con independencia de que estos fueran recogidos antes o después de la entrada en vigor de la Ley.
6ª) En cuanto a la revocación para el tratamiento de datos personales, si el sujeto ejerce su derecho de revocar el consentimiento para participar en una investigación, tendrían que existir mecanismos para que el responsable del tratamiento de los datos supiera que ha de cancelarlos sin necesidad de que el sujeto tenga que hacer una petición expresa al respecto.
7ª) En principio, los datos anonimizados se sitúan fuera del ámbito de aplicación del Reglamento, pero ante el progresivo avance tecnológico y el aumento de la capacidad de procesamiento y cruce de datos mediante las nuevas tecnologías informáticas, es imposible seguir manteniendo la idea de que se pueden anonimizar los datos de forma irreversible, ya que cualquier dato combinado con otros, es susceptible de ser reidentificado. Por eso, al día de hoy, el Reglamento es insuficiente para proteger de manera absoluta el derecho a la protección de datos personales de los sujetos y por ello, la normativa se tendrá que ir adaptando a los nuevos avances de la Era digital.
Acceder al título íntegro del artículo, con notas y bibliografía