Salud y Fármacos is an international non-profit organization that promotes access and the appropriate use of pharmaceuticals among the Spanish-speaking population.

Investigaciones

Día Europeo de la Protección de Datos: el reto de usar información sobre pacientes en investigación

Durante años, y hasta la llegada del Reglamento General de Protección de Datos (RGPD) [1], la investigación en salud con datos se enfrentó a una carrera de obstáculos. Una nefasta trasposición de la Directiva de Protección de Datos [2], un entendimiento estricto de la normativa y la carencia de cultura jurídico-tecnológica en el soporte legal en los sistemas públicos de salud dificultaron el avance en esta área. Varios eran los factores que ralentizaban el uso de datos en investigación.

En nuestro país, el uso de datos personales debía ceñirse a proyectos de investigación concretos y no admitía ni usos adicionales ni su reutilización posterior. Una concepción estricta del principio de finalidad y la prohibición de uso para fines distintos erigieron la protección de datos personales en un muro infranqueable.

No era el único inconveniente. La interpretación jurídica de las primeras leyes de protección de datos, la LORTAD [3] y la LOPD [4], en ausencia de la figura del delegado de protección de datos en el sistema público de salud, presentaba una enorme dificultad técnica. Generalmente llevaba a la adopción de soluciones restrictivas o de prohibición.

Sin embargo, el rigor científico nos obliga a subrayar cómo en aquellos años las carencias de la Administración en cumplimiento normativo resultaban particularmente graves. El doble perfil académico y sanitario de muchos investigadores generaba escenarios de riesgo significativos.

Datos anónimos
La Ley de la Autonomía del Paciente [5] trataría de paliar este estado de cosas admitiendo dos escenarios para la investigación: el consentimiento del paciente o el uso anonimizado de los datos.

La legislación en materia de investigación biomédica, ensayos clínicos o calidad y cohesión del sistema de salud pública iría paulatinamente disciplinando la materia. Sin embargo, la óptica de esta legislación y su interpretación seguía siendo profundamente restrictiva.

Se añadía a ello una cuestión material bien conocida por los expertos. Mientras la Directiva, y posteriormente el RGPD, conciben el concepto de anonimización desde la proporcionalidad, las autoridades de protección de datos lo hacen desde la irreversibilidad.

La normativa europea define un canon que se basa en tres pilares:

  • Primero, analizar los riesgos de reidentificación mediante singularización, inferencia o vinculación.
  • En segundo lugar, considerar el escenario desde el punto de vista de las capacidades cualquier sujeto a la hora de reidentificar.
  • Finalmente, y teniendo en cuenta el estado del arte, considerar anonimizados los datos cuando tal tarea exigiera un esfuerzo desproporcionado para cualquier sujeto.

Sin embargo, las autoridades señalan que anonimizar debe equivaler a borrar, debe ser absolutamente irreversible y, además, prever con bastante antelación el estado futuro de la tecnología. Si añadimos las exigencias metodológicas que exigen adicionalmente un doble proceso para anonimizar que realizan equipos independientes, en la práctica hace imposible anonimizar o que esté al alcance de muy pocas entidades.

Uso de los datos de salud en investigación
La filosofía de los reguladores europeos, y de las legislaciones que usaban, trascendió al proceso de gestación del RGPD. De hecho, sus primeros borradores motivaron la encendida protesta de la Asociación Europea de Rectores augurando a la Comisión que el futuro RGPD impediría la investigación en la Unión Europea.

El cambio operado por el vigente RGPD resulta así altamente significativo. Se reconoce el valor de la investigación, incluida la investigación con datos masivos, como una finalidad de interés público relevante, particularmente en el ámbito de la salud. Se disciplina un consentimiento ampliado en sus objetivos y se admite el uso de datos para investigación como un uso “compatible” por definición.

Por otra parte, el RGPD delegaba en la legislación nacional la regulación específica en la materia. Y, de nuevo, siguiendo una inveterada tradición, el regulador fue pacato y conservador. El proyecto de Ley apostaba por una moratoria de dos años para regular la cuestión.

La decisión fue criticada por los expertos ante la Comisión de Justicia del Congreso y, en consulta pública, motivó aportaciones por ejemplo de las sociedades de epidemiólogos. Con mejor o peor fortuna, la aprobación de la disposición adicional decimoséptima sobre tratamientos de datos de salud de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) [6] generó un nuevo ecosistema.

La norma es reseñable, aunque sea solo por el hecho de prever con dos años de antelación un escenario de investigación en supuestos de epidemia. Pero su valor crucial reside en definir un concepto amplio de consentimiento, permitir la reutilización de datos y generar un triple espacio para el uso de datos personales en la investigación en salud: el consentimiento, la anonimización y el uso seguro de datos seudonimizados.

Retos del open data de salud
Este nuevo territorio permite definir un escenario para la investigación que, garantizando los derechos fundamentales y aplicando la normativa sobre protección de datos, asegura alcanzar los objetivos para la investigación retrosprectiva y prospectiva empleando la analítica de datos en el ámbito de la salud.

Es necesario subrayar que, a pesar de lo favorable del ecosistema normativo generado, el empleo de datos de salud del sistema público debe sortear un escollo adicional.

Por una parte, la Ley de reutilización de datos del sector público [7] y la aplicación de los criterios de la Ley de transparencia [8], a los que remite la primera, dificultan extraordinariamente la generación de entornos de open data con datos de salud debido a los riesgos inherentes a los requisitos que se exigen en anonimización. Por otra, asegurar que los datos no se conviertan en una mercancía y se pierda la trazabilidad constituye un problema adicional particularmente gravoso.

Desde la investigación de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de València en la colaboración en proyectos de investigación del Instituto de Investigación Sanitaria INCLIVA [9], singularmente BigMedilytics [10], y el análisis del ecosistema de investigación del Instituto de Investigación Sanitaria, el IIS La Fe [11], y proyectos como Chaimeleon [12], se ha podido ensayar un enfoque basado en la idea de favorecer ecosistemas de open data controlado.

No se trata únicamente de investigación. La experiencia del IIS La Fe permite apreciar las ventajas que aportaría la generación de ecosistemas de datos de salud para su uso con fines primarios y asistenciales. Esto abriría el camino para sistemas de información clínica que trascienden la historia clínica, enriqueciendo las herramientas a disposición de los facultativos.

Las lecciones aprendidas han sido aplicadas con éxito al proyecto Healthdata29 [13]: Guía legal y repositorio para fomentar la compartición de datos de salud de Fundación 29 auspiciado por Microsoft Ibérica.

El marco normativo permite aprovechar el espacio que la disposición adicional decimoséptima sobre tratamientos de datos de salud y el artículo 16 de la Ley 41/2002, de autonomía del paciente, ofrecen a la investigación con datos seudonimizados [14]. Se trata, además, de una filosofía funcional al empleo adicional de datos personales, o de datos anonimizados.

En este sentido, definir un espacio intermediado que ofrezca trazabilidad respecto de los agentes que investigan, que disponga de un modelo de gobernanza y que asegure un conjunto de estrategias jurídicas y técnicas adecuadas al RGPD constituye una valiosa aportación.

La innovación del legislador español y su concreción definen un ámbito para la investigación con datos en salud que se alinea con las aspiraciones del espacio europeo de investigación en salud, la Directiva Open Data [15] y la futura Data Governance Act [16]

La innovación legislativa, el significativo valor añadido de la digitalización de la sanidad española, y la alta calidad científica de las áreas de conocimiento concernidas, sitúan a España ante el reto de innovar y aportar al liderazgo europeo en este campo de la ciencia.

Referencias

  1. Reglamento (UE) 2016/679 Del Parlamento Europeo Y Del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) de 27 de abril de 2016 https://www.boe.es/doue/2016/119/L00001-00088.pdf
  2. Directiva de Protección de Datos https://es.wikipedia.org/wiki/Directiva_de_Protecci%C3%B3n_de_Datos
  3. Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal. https://www.boe.es/buscar/doc.php?id=BOE-A-1992-24189
  4. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Jefatura del Estado. «BOE» núm. 294, de 06 de diciembre de 2018. Referencia: BOE-A-2018-16673 https://www.boe.es/buscar/pdf/2018/BOE-A-2018-16673-consolidado.pdf
  5. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. «BOE» núm. 274, de 15/11/2002 https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188
  6. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. «BOE» núm. 294, de 6 de diciembre de 2018, páginas 119788 a 119857 (70 págs.) https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
  7. Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. «BOE» núm. 276, de 17/11/2007 https://www.boe.es/buscar/act.php?id=BOE-A-2007-19814
  8. Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. «BOE» núm. 295, de 10/12/2013 https://www.boe.es/eli/es/l/2013/12/09/19/con
  9. INCLIVA VCL https://www.incliva.es/quienes-somos
  10. Bigmedilytics https://www.bigmedilytics.eu/
  11. Instituto de Investigación Sanitaria La Fe. https://www.iislafe.es/es/el-iis-la-fe/
  12. CHAIMELEON https://chaimeleon.eu/
  13. Fundación 29. Health Data: el playbook https://www.healthdata29.org/playbook
  14. Seudonimización https://es.wikipedia.org/wiki/Seudonimizaci%C3%B3n
  15. European Commission. European legislation on open data and the re-use of public sector information https://ec.europa.eu/digital-single-market/en/european-legislation-reuse-public-sector-information
  16. European Commission. Data Governance Act, 25 de noviembre de 2020 https://ec.europa.eu/digital-single-market/en/news/data-governance-act
creado el 3 de Marzo de 2021