Logo de la Universitat de València Logo Càtedra de privacitat i transformació digital Microsoft-UV Logo del portal

Anonimització i seudonimització: Interessos legítims com a base legal per a l'activitat d'investigació

  • 7 de juliol de 2022
Investigació

El professor Ricard Martínez exposa sobre el marc legal europeu per a protegir les dades personals en la investigació sanitària. Destaca els requisits necessaris per a complir amb aquesta legislació.

Les asimetries entre les normes aplicables als països d'origen de les dades creen problemes que només poden resoldre's mitjançant l'anonimització. A més, encara que les normes exigeixen un tipus d'anonimització determinat pel risc de reidentificació, mitjançant un esforç raonable, les autoritats de protecció de dades exigeixen una anonimització irreversible des del Dictamen 5/2014 del Grup de Treball sobre l'Article 29.

Així, l'ús de metodologies d'anàlisis de dades per a la investigació sanitària ha evolucionat en els dos últims anys cap a estratègies molt ben definides i comunes als països de la Unió Europea. En primer lloc, l'anonimització i, en segon lloc, la construcció d'espais de dades federades en els quals el tractament que aplica és la legislació nacional.

Com ja saben, el Reglament General de Protecció de Dades (RGPD) considera que la investigació sanitària representa un clar interés públic i ha de ser fomentada. Per a això, ha aportat les bases jurídiques que legitimen aquest tractament (Articles 6, 9(2)(j) i 89). Així mateix, ha considerat com a usos compatibles de les dades els relacionats amb la investigació (Article 5(1)(e)). I, finalment, exigeix que el desenvolupament normatiu per part de la Unió Europea, o de les legislacions dels Estats membres, incloga tant els motius de legitimació per al tractament com les condicions d'aquest, que oferisquen garanties adequades (Articles 6, 9(2)(j) i 89).

De fet, l'Article 89 (1) inclou una clara preferència quant a la identificabilidad de les dades. L'anonimització ha de ser la norma i la seudonimització l'alternativa segura en cas que l'anonimització resulte impossible. A més, aquesta última tècnica es concep com a necessària per defecte i com una salvaguarda adequada.


Enfocament basat en el risc

 

Com hem dit, el marc de referència sobre l'anonimització va ser definit pel Grup de Treball de l'Article 29. El Dictamen 05/2014 sobre tècniques d'anonimització es basa en un enfocament basat en el risc que se centra en el risc de reidentificació a través de la singularización, la capacitat d'enllaç i la inferència. En resum, el grup de treball considera que:

  1. L'anonimització és un tractament en si mateix. Per tant, les dades personals han d'haver sigut recollits i tractats d'acord amb la legislació aplicable. Això implica la necessitat d'obtindre proves verificables de l'origen legítim de les dades, el compliment del dret de transparència dels pacients i la necessitat de comptar amb les aprovacions ètiques i legals adequades per al tractament de les dades.
  2. L'anonimització és una tècnica que s'aplica a les dades personals per a aconseguir una desidentificación irreversible.
  3. El concepte d'esforç raonable per part del responsable del tractament o de qualsevol tercer requereix la consideració de:
    1. Els mitjans tècnics disponibles considerant els possibles canvis en l'evolució de les tecnologies de la informació.
    2. Garantir el màxim nivell d'agregació de dades.
    3. Els tercers han d'analitzar els riscos de reidentificació. Això implica que quan un projecte d'investigació rep dades anonimitzades ha d'aplicar un procés de verificació addicional destinat a analitzar els riscos de singularización, vinculació i inferència.
  4. L'anonimització no implica l'absència de drets de les persones afectades.

Des del nostre punt de vista, això pot implicar obligacions addicionals com la de facilitar la traçabilitat de l'ús dels conjunts de dades anonimitzades, de manera que es puga identificar el seu origen, les condicions i els fins d'ús de les dades, els usuaris del depòsit de dades i les accions executades.


Anonimització permanent

 

Finalment, el document pren com a referència la Directiva 2002/58/CE i arriba a afirmar el següent: el raonament subjacent és que el resultat de l'anonimització com a tècnica aplicada a les dades personals hauria de ser, en l'estat actual de la tecnologia, tan permanent com l'esborrat, és a dir, fer impossible el tractament de les dades personals.

Per a aconseguir aquest objectiu, el Grup de Treball de l'Article 29 proposa una estratègia combinada de tècniques d'aleatorització, generalització, seudonimización, privacitat diferencial, diversitat i proximitat. Per part seua, les autoritats de protecció de dades, algunes de les directrius de les quals aporten criteris no sols tècnics sinó també organitzatius. Per exemple, l'Agència Espanyola de Protecció de Dades recomana un procés d'anonimització de doble capa amb equips independents i amb una clara segmentació de tasques i responsabilitats quant a la presa de decisions, l'anàlisi de riscos o la seguretat.

Però, quin podria ser l'escenari darrere de la Proposta de Reglament del Parlament Europeu i del Consell sobre l'Espai Europeu de Dades de Salut? La Proposta es refereix a l'anonimització i la seudonimización en diversos punts. La norma dissenya un sistema basat en la creació d'un o diversos Organismes Nacionals d'Accés a Dades Sanitàries que operarien com a agent intermediari i de control en relació amb els usos secundaris de les dades.


Tractament de categories especials de dades

 

La proposta de la EEDS estableix en el seu considerant (45) dos principis bàsics per al tractament de les categories especials de dades. Llavors, sempre que siga possible, s'ha de respectar la "privacitat per disseny" i "fer preguntes a les dades en lloc de moure'ls".

Aquests principis han de considerar-se juntament amb els paràgrafs segon i tercer de l'Art. 44 de la Proposta. Aquesta norma proposa un enfocament coherent amb l'Article 89 del RGPD. Prioritza com a primera opció l'anonimització de les dades sanitàries electròniques quan siga possible aconseguir la finalitat del tractament sol·licitada per l'usuari. En defecte d'això, els organismes d'accés a les dades sanitàries facilitaran l'accés a les dades sanitàries electròniques en format pseudònim.

A més, s'adopta una estratègia idèntica a la de la llei espanyola en la disposició addicional dissetena sobre el tractament de dades sanitàries. Igual que la llei espanyola, defineix un escenari de separació funcional entre els qui posseeixen els identificadors i els qui investiguen amb les dades, i un compromís de no reidentificació per a aquests últims, ja que "la informació necessària per a revertir la seudonimización només estarà disponible per a l'organisme que accedeix a les dades sanitàries" i "els usuaris de les dades no reidentificaran les dades sanitàries electròniques que se'ls proporcionen" en aquest format. Finalment, quan es vagen a sol·licitar dades en format pseudònim, pot ser necessària una avaluació ètica a més d'una justificació dels motius de la sol·licitud.

La Proposta EEDS és coherent amb els criteris del Dictamen 5/2014 i el RGPD. Referent a això, resulta especialment instructiu el considerant (46), del qual poden extraure's principis comuns amb l'anterior:

  1. L'ús secundari de les dades requerirà la invocació d'una base legítima per al tractament fundada en el RGPD, així com el compliment dels principis de l'article 5 del RGPD (limitació de la finalitat, minimització de les dades i seguretat).
  2. Es prefereix l'ús de dades anònimes i, si es requereixen dades pseudònimes, el sol·licitant ha d'explicar per què és necessari i per què les dades anònimes no serien suficients. Quan el sol·licitant necessite dades estadístiques anonimitzades, haurà de presentar una sol·licitud de dades, exigint a l'organisme d'accés a les dades sanitàries que li proporcione directament el resultat.

 

Imatge ciència

La seudonimización com a alternativa

 

El considerant (60) completa l'enfocament de la Proposta EEDS sobre l'anonimització en considerar no sols el risc de reidentificació, sinó també el fet que (60) "unes certes categories de dades sanitàries electròniques poden continuar sent especialment sensibles fins i tot quan estan en format anònim i, per tant, no són personals. En la pràctica, s'està reconeixent la impossibilitat d'una anonimització irreversible, ja que sempre hi haurà un risc residual de reidentificació en diversos casos com a malalties rares".

L'Article 44(3) de la Proposta EEDS preveu la seudonimització com a alternativa quan l'anonimització no és factible. Quan la finalitat del tractament de l'usuari de les dades no puga aconseguir-se amb dades anonimitzades, tenint en compte la informació facilitada per l'usuari de les dades, els organismes d'accés a les dades sanitàries facilitaran l'accés a les dades sanitàries electròniques en format pseudònim. La informació necessària per a revertir la seudonimització només estarà disponible per a l'organisme d'accés a les dades sanitàries. Els usuaris de les dades no tornaran a identificar les dades sanitàries electròniques que se'ls proporcionen en format pseudònim. L'incompliment per part de l'usuari de les dades de les mesures de l'organisme d'accés a les dades sanitàries que garantisquen la seudonimització, serà objecte de les sancions pertinents.

Finalment, a l'hora de sol·licitar l'accés a les dades, han de tindre's en compte els requisits que es formalitzaran d'acord amb l'Article 45 de la proposta de la EEDS:

  • una explicació detallada de l'ús que es pretén donar a les dades sanitàries electròniques, incloent per a quin dels fins esmentats en l'apartat 1 de l'Article 34 se sol·licita l'accés;
  • una descripció de les dades sanitàries electròniques sol·licitats, el seu format i les seues fonts de dades, quan siga possible, incloent-hi la cobertura geogràfica quan se sol·liciten dades de diversos Estats membres;
  • una indicació de si les dades sanitàries electròniques han d'estar disponibles en un format anònim;
  • en el seu cas, una explicació dels motius pels quals se sol·licita l'accés a les dades sanitàries electròniques en format pseudònim;
  • una descripció de les salvaguardes previstes per a evitar qualsevol altre ús de les dades sanitàries electròniques;
  • una descripció de les garanties previstes per a protegir els drets i interessos del titular de les dades i de les persones físiques afectades;
  • una estimació del període durant el qual es necessiten les dades sanitàries electròniques per al seu tractament;
  • una descripció de les eines i recursos informàtics necessaris per a un entorn segur.


Riscos en el procés d'anonimització de dades

 

En l'actualitat, l'anonimització de les dades constitueix la tècnica més habitual per al desenvolupament d'estudis retrospectius i per a la creació de repositoris de dades. El seu abast és més limitat en els estudis prospectius, per als quals no és rar que les legislacions nacionals exigisquen el consentiment com a base per a legitimar el tractament de dades.

Això també ha portat a l'aplicació de garanties de privacitat molt precises. Així, des del punt de vista de l'origen de la recollida de dades, els projectes d'investigació solen exigir que s'acredite l'origen legítim de les dades; que es demostre la seua obtenció per part del projecte, bé mitjançant actes declaratius del proveïdor de les dades, bé mitjançant l'acreditació de les condicions d'ús de l'entorn de dades obertes de la font, bé mitjançant un acord de compartició de dades; i, finalment, que es compte amb una declaració d'aprovació ètica emesa per un comité d'ètica acreditat conforme a la legislació nacional.

Tanmateix, això no és suficient i, des del punt de vista de l'anonimització, s'adopten diferents estratègies:

  1.  Aplicar metodologies centrades en el risc mitjançant la revisió dels conjunts de dades anònimes que s'entreguen. En la pràctica, això implica incorporar dos o fins i tot #tres capes d'anonimització.
  2. Construir espais de dades que des d'una filosofia de dades obertes controlades incloguen mesures legals i tecnològiques. El primer d'ells inclou la signatura d'acords d'intercanvi de dades, l'acceptació dels termes i condicions i l'assumpció de compromisos de no reidentificació. Des del punt de vista de la seguretat, l'usuari ha d'estar registrat i la seua acció en el repositori ha de ser traçable.
  3. L'adopció de tècniques d'anonimització cada vegada més sofisticades, com les tècniques de privacitat diferencial, la computació multipartita i/o la generació de dades sintètiques. Fins a un cert punt, l'ús de tècniques d'encriptació és un element comú en moltes d'aquestes tècniques.


El nou marc legal

 

L'entrada en vigor de la Llei de Governança de Dades i la pròxima proposta de la EEDS plantegen importants qüestions. El primer preveu el foment de la reutilització de dades a través del principi de "obertura per disseny i per defecte", promovent la creació i recopilació de dades en formats i estructures que faciliten l'anonimització. En el sistema sanitari públic això es realitzarà en cada estat a través de "un o diversos organismes competents", que poden ser sectorials, per a fer costat als organismes del sector públic que concedeixen l'accés a la reutilització de dades.

Donaran suport:

  • proporcionant suport tècnic en posar a disposició un entorn de processament segur per a facilitar l'accés per a la reutilització de les dades;
  • proporcionant orientació i suport tècnic sobre la millor manera d'estructurar i emmagatzemar les dades perquè siguen fàcilment accessibles;
  • proporcionant suport tècnic per a la seudonimización i garantint el tractament de les dades de manera que es preserve eficaçment la privacitat, la confidencialitat, la integritat i l'accessibilitat de la informació continguda en les dades la reutilització de les quals es permet, incloses les tècniques d'anonimització, generalització, supressió, aleatorització de les dades personals o altres mètodes d'avantguarda per a preservar la privacitat, i la supressió de la informació comercialment confidencial, inclosos els secrets comercials o els continguts protegits per drets de propietat intel·lectual;
  • quan corresponga, ajudant els organismes del sector públic a prestar assistència als reutilizadores perquè sol·liciten el consentiment per a la reutilització als interessats o el permís dels titulars de les dades d'acord amb les seues decisions específiques, incloses les relatives a la jurisdicció o jurisdiccions en les quals es pretén dur a terme el tractament de les dades, i ajudant els organismes del sector públic a establir mecanismes tècnics que permeten la transmissió de les sol·licituds de consentiment dels reutilizadores, quan siga factible en la pràctica;
  • proporcionant als organismes del sector públic assistència sobre l'adequació dels compromisos assumits per un reutilizador, en cas de transmissió de dades confidencials no personals o de dades protegides per drets de propietat intel·lectual a un reutilizador que pretenga transferir aqueixes dades a un tercer país.

D'altra banda, la infraestructura de suport en el cas de la sanitat és atribuïda per la Proposta EEDS als Organismes Nacionals d'Accés a les Dades. Finalment, queda clar que els sistemes sanitaris, els hospitals, han de considerar-se titulars de les dades, i una posició similar podria considerar-se per als repositoris de dades que s'estan creant en els projectes d'investigació de diversos socis. Els titulars de les dades tindran sens dubte la tasca d'anonimitzar els conjunts de dades, catalogar-los adequadament i oferir condicions de confiança.

No obstant això, el risc inherent a qualsevol procés d'anonimització de dades ens porta a concloure que només hi ha una eixida. Donada la necessitat d'aconseguir i demostrar un nivell d'anonimització irreversible equivalent a l'esborrat, no hi ha un altre recurs que utilitzar estratègies de seudonimització. Fins i tot quan els conjunts de dades s'anonimitzen, han d'aplicar-se les tècniques de control, seguretat i traçabilitat que s'apliquen a les dades pseudònimes.


Documents legals citats en el text:

 

 

Pel professor Ricard Martínez Martínez, Director de la Càtedra Privacitat i Transformació Digital Microsoft-Universitat de València. Ponència en el congrés GDPR Requirements for Biobanking Activities Across Europe, dut a terme a Perusa, Itàlia, en 25 i 26 de maig de 2022.