El profesor Ricard Martínez expone sobre el marco legal europeo para proteger los datos personales en la investigación sanitaria. Destaca los requisitos necesarios para cumplir con esta legislación.

Las asimetrías entre las normas aplicables en los países de origen de los datos crean problemas que sólo pueden resolverse mediante la anonimización. Además, aunque las normas exigen un tipo de anonimización determinado por el riesgo de reidentificación, mediante un esfuerzo razonable, las autoridades de protección de datos exigen una anonimización irreversible desde el Dictamen 5/2014 del Grupo de Trabajo sobre el Artículo 29. 

Así, el uso de metodologías de análisis de datos para la investigación sanitaria ha evolucionado en los dos últimos años hacia estrategias muy bien definidas y comunes en los países de la Unión Europea. En primer lugar, la anonimización y, en segundo lugar, la construcción de espacios de datos federados en los que el tratamiento que aplica es la legislación nacional. 

Como ya saben, el Reglamento General de Protección de Datos (RGPD) considera que la investigación sanitaria representa un claro interés público y debe ser fomentada. Para ello, ha aportado las bases jurídicas que legitiman este tratamiento (Artículos 6, 9(2)(j) y 89). Asimismo, ha considerado como usos compatibles de los datos los relacionados con la investigación (Artículo 5(1)(e)). Y, por último, exige que el desarrollo normativo por parte de la Unión Europea, o de las legislaciones de los Estados miembros, incluya tanto los motivos de legitimación para el tratamiento como las condiciones del mismo, que ofrezcan garantías adecuadas (Artículos 6, 9(2)(j) y 89).

De hecho, el Artículo 89 (1) incluye una clara preferencia en cuanto a la identificabilidad de los datos. La anonimización debe ser la norma y la seudonimización la alternativa segura en caso de que la anonimización resulte imposible. Además, esta última técnica se concibe como necesaria por defecto y como una salvaguarda adecuada. 

Enfoque basado en el riesgo

Como hemos dicho, el marco de referencia sobre la anonimización fue definido por el Grupo de Trabajo del Artículo 29. El Dictamen 05/2014 sobre técnicas de anonimización se basa en un enfoque basado en el riesgo que se centra en el riesgo de reidentificación a través de la singularización, la capacidad de enlace y la inferencia. En resumen, el grupo de trabajo considera que:

1. La anonimización es un tratamiento en sí mismo. Por lo tanto, los datos personales deben haber sido recogidos y tratados de acuerdo con la legislación aplicable. Esto implica la necesidad de obtener pruebas verificables del origen legítimo de los datos, el cumplimiento del derecho de transparencia de los pacientes y la necesidad de contar con las aprobaciones éticas y legales adecuadas para el tratamiento de los datos.
2. La anonimización es una técnica que se aplica a los datos personales para conseguir una desidentificación irreversible.
3. El concepto de esfuerzo razonable por parte del responsable del tratamiento o de cualquier tercero requiere la consideración de:
   1. Los medios técnicos disponibles considerando los posibles cambios en la evolución de las tecnologías de la información.
   2. Garantizar el máximo nivel de agregación de datos.
   3. Los terceros deben analizar los riesgos de reidentificación. Esto implica que cuando un proyecto de investigación recibe datos anonimizados debe aplicar un proceso de verificación adicional destinado a analizar los riesgos de singularización, vinculación e inferencia. 
4. La anonimización no implica la ausencia de derechos de las personas afectadas. 

Desde nuestro punto de vista, esto puede implicar obligaciones adicionales como la de facilitar la trazabilidad del uso de los conjuntos de datos anonimizados, de modo que se pueda identificar su origen, las condiciones y los fines de uso de los datos, los usuarios del depósito de datos y las acciones ejecutadas. 

Anonimización permanente

Por último, el documento toma como referencia la Directiva 2002/58/CE y llega a afirmar lo siguiente: el razonamiento subyacente es que el resultado de la anonimización como técnica aplicada a los datos personales debería ser, en el estado actual de la tecnología, tan permanente como el borrado, es decir, hacer imposible el tratamiento de los datos personales.

Para lograr este objetivo, el Grupo de Trabajo del Artículo 29 propone una estrategia combinada de técnicas de aleatorización, generalización, seudonimización, privacidad diferencial, diversidad y proximidad. Por su parte, las autoridades de protección de datos, algunas de cuyas directrices aportan criterios no sólo técnicos sino también organizativos. Por ejemplo, la Agencia Española de Protección de Datos recomienda un proceso de anonimización de doble capa con equipos independientes y con una clara segmentación de tareas y responsabilidades en cuanto a la toma de decisiones, el análisis de riesgos o la seguridad. 

Pero, ¿cuál podría ser el escenario detrás de la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Espacio Europeo de Datos de Salud? La Propuesta se refiere a la anonimización y la seudonimización en varios puntos. La norma diseña un sistema basado en la creación de uno o varios Organismos Nacionales de Acceso a Datos Sanitarios que operarían como agente intermediario y de control en relación con los usos secundarios de los datos. 

Tratamiento de categorías especiales de datos

La propuesta de la EEDS establece en su considerando (45) dos principios básicos para el tratamiento de las categorías especiales de datos. Entonces, siempre que sea posible, se debe respetar la "privacidad por diseño" y "hacer preguntas a los datos en lugar de moverlos". 

Estos principios deben considerarse junto con los párrafos segundo y tercero del Art. 44 de la Propuesta. Esta norma propone un enfoque coherente con el Artículo 89 del RGPD. Prioriza como primera opción la anonimización de los datos sanitarios electrónicos cuando sea posible alcanzar la finalidad del tratamiento solicitada por el usuario. En su defecto, los organismos de acceso a los datos sanitarios facilitarán el acceso a los datos sanitarios electrónicos en formato seudónimo. 

Además, se adopta una estrategia idéntica a la de la ley española en la disposición adicional decimoséptima sobre el tratamiento de datos sanitarios. Al igual que la ley española, define un escenario de separación funcional entre quienes poseen los identificadores y quienes investigan con los datos, y un compromiso de no reidentificación para estos últimos, ya que "la información necesaria para revertir la seudonimización sólo estará disponible para el organismo que accede a los datos sanitarios" y "los usuarios de los datos no reidentificarán los datos sanitarios electrónicos que se les proporcionen" en este formato. Por último, cuando se vayan a solicitar datos en formato seudónimo, puede ser necesaria una evaluación ética además de una justificación de los motivos de la solicitud.

La Propuesta EEDS es coherente con los criterios del Dictamen 5/2014 y el RGPD. A este respecto, resulta especialmente instructivo el considerando (46), del que pueden extraerse principios comunes con lo anterior:

1. El uso secundario de los datos requerirá la invocación de una base legítima para el tratamiento fundada en el RGPD, así como el cumplimiento de los principios del artículo 5 del RGPD (limitación de la finalidad, minimización de los datos y seguridad).
2. Se prefiere el uso de datos anónimos y, si se requieren datos seudónimos, el solicitante debe explicar por qué es necesario y por qué los datos anónimos no serían suficientes. Cuando el solicitante necesite datos estadísticos anonimizados, deberá presentar una solicitud de datos, exigiendo al organismo de acceso a los datos sanitarios que le proporcione directamente el resultado. 

La seudonimización como alternativa

El considerando (60) completa el enfoque de la Propuesta EEDS sobre la anonimización al considerar no solo el riesgo de reidentificación, sino también el hecho de que (60)     "ciertas categorías de datos sanitarios electrónicos pueden seguir siendo especialmente sensibles incluso cuando están en formato anónimo y, por lo tanto, no son personales. En la práctica, se está reconociendo la imposibilidad de una anonimización irreversible, ya que siempre habrá un riesgo residual de reidentificación en varios casos como enfermedades raras"

El Artículo 44(3) de la Propuesta EEDS prevé la seudonimización como alternativa cuando la anonimización no es factible. Cuando la finalidad del tratamiento del usuario de los datos no pueda alcanzarse con datos anonimizados, teniendo en cuenta la información facilitada por el usuario de los datos, los organismos de acceso a los datos sanitarios facilitarán el acceso a los datos sanitarios electrónicos en formato seudónimo. La información necesaria para revertir la seudonimización sólo estará disponible para el organismo de acceso a los datos sanitarios. Los usuarios de los datos no volverán a identificar los datos sanitarios electrónicos que se les proporcionen en formato seudónimo. El incumplimiento por parte del usuario de los datos de las medidas del organismo de acceso a los datos sanitarios que garanticen la seudonimización, será objeto de las sanciones pertinentes.

Por último, a la hora de solicitar el acceso a los datos, deben tenerse en cuenta los requisitos que se formalizarán de acuerdo con el Artículo 45 de la propuesta de la EEDS: 

• una explicación detallada del uso que se pretende dar a los datos sanitarios electrónicos, incluyendo para cuál de los fines mencionados en el apartado 1 del Artículo 34 se solicita el acceso;
• una descripción de los datos sanitarios electrónicos solicitados, su formato y sus fuentes de datos, cuando sea posible, incluyendo la cobertura geográfica cuando se soliciten datos de varios Estados miembros;
• una indicación de si los datos sanitarios electrónicos deben estar disponibles en un formato anónimo;
• en su caso, una explicación de los motivos por los que se solicita el acceso a los datos sanitarios electrónicos en formato seudónimo;
• una descripción de las salvaguardias previstas para evitar cualquier otro uso de los datos sanitarios electrónicos;
• una descripción de las garantías previstas para proteger los derechos e intereses del titular de los datos y de las personas físicas afectadas;
• una estimación del periodo durante el cual se necesitan los datos sanitarios electrónicos para su tratamiento;
• una descripción de las herramientas y recursos informáticos necesarios para un entorno seguro.

Riesgos en el proceso de anonimización de datos 

En la actualidad, la anonimización de los datos constituye la técnica más habitual para el desarrollo de estudios retrospectivos y para la creación de repositorios de datos. Su alcance es más limitado en los estudios prospectivos, para los que no es raro que las legislaciones nacionales exijan el consentimiento como base para legitimar el tratamiento de datos. 

Esto también ha llevado a la aplicación de garantías de privacidad muy precisas. Así, desde el punto de vista del origen de la recogida de datos, los proyectos de investigación suelen exigir que se acredite el origen legítimo de los datos; que se demuestre su obtención por parte del proyecto, bien mediante actos declarativos del proveedor de los datos, bien mediante la acreditación de las condiciones de uso del entorno de datos abiertos de la fuente, bien mediante un acuerdo de compartición de datos; y, por último, que se cuente con una declaración de aprobación ética emitida por un comité de ética acreditado conforme a la legislación nacional. 

Sin embargo, esto no es suficiente y, desde el punto de vista de la anonimización, se adoptan diferentes estrategias:

1. Aplicar metodologías centradas en el riesgo mediante la revisión de los conjuntos de datos anónimos que se entregan. En la práctica, esto implica incorporar dos o incluso tres capas de anonimización. 
2. Construir espacios de datos que desde una filosofía de datos abiertos controlados incluyan medidas legales y tecnológicas. El primero de ellos incluye la firma de acuerdos de intercambio de datos, la aceptación de los términos y condiciones y la asunción de compromisos de no reidentificación. Desde el punto de vista de la seguridad, el usuario debe estar registrado y su acción en el repositorio debe ser rastreable. 
3. La adopción de técnicas de anonimización cada vez más sofisticadas, como las técnicas de privacidad diferencial, la computación multipartita y/o la generación de datos sintéticos. Hasta cierto punto, el uso de técnicas de encriptación es un elemento común en muchas de estas técnicas. 

El nuevo marco legal

La entrada en vigor de la Ley de Gobernanza de Datos y la próxima propuesta de la EEDS plantean importantes cuestiones. El primero prevé el fomento de la reutilización de datos a través del principio de "apertura por diseño y por defecto", promoviendo la creación y recopilación de datos en formatos y estructuras que faciliten la anonimización. En el sistema sanitario público esto se realizará en cada estado a través de "uno o varios organismos competentes", que pueden ser sectoriales, para apoyar a los organismos del sector público que conceden el acceso a la reutilización de datos. 

Prestarán apoyo:

• proporcionando apoyo técnico al poner a disposición un entorno de procesamiento seguro para facilitar el acceso para la reutilización de los datos;
• proporcionando orientación y apoyo técnico sobre la mejor manera de estructurar y almacenar los datos para que sean fácilmente accesibles;
• proporcionando apoyo técnico para la seudonimización y garantizando el tratamiento de los datos de manera que se preserve eficazmente la privacidad, la confidencialidad, la integridad y la accesibilidad de la información contenida en los datos cuya reutilización se permite, incluidas las técnicas de anonimización, generalización, supresión, aleatorización de los datos personales u otros métodos de vanguardia para preservar la privacidad, y la supresión de la información comercialmente confidencial, incluidos los secretos comerciales o los contenidos protegidos por derechos de propiedad intelectual;
• cuando corresponda, ayudando a los organismos del sector público a prestar asistencia a los reutilizadores para que soliciten el consentimiento para la reutilización a los interesados o el permiso de los titulares de los datos en consonancia con sus decisiones específicas, incluidas las relativas a la jurisdicción o jurisdicciones en las que se pretende llevar a cabo el tratamiento de los datos, y ayudando a los organismos del sector público a establecer mecanismos técnicos que permitan la transmisión de las solicitudes de consentimiento de los reutilizadores, cuando sea factible en la práctica;
• proporcionando a los organismos del sector público asistencia sobre la adecuación de los compromisos asumidos por un reutilizador, en caso de transmisión de datos confidenciales no personales o de datos protegidos por derechos de propiedad intelectual a un reutilizador que pretenda transferir esos datos a un tercer país.

Por otro lado, la infraestructura de apoyo en el caso de la sanidad es atribuida por la Propuesta EEDS a los Organismos Nacionales de Acceso a los Datos. Por último, queda claro que los sistemas sanitarios, los hospitales, deben considerarse titulares de los datos, y una posición similar podría considerarse para los repositorios de datos que se están creando en los proyectos de investigación de varios socios. Los titulares de los datos tendrán sin duda la tarea de anonimizar los conjuntos de datos, catalogarlos adecuadamente y ofrecer condiciones de confianza. 

Sin embargo, el riesgo inherente a cualquier proceso de anonimización de datos nos lleva a concluir que sólo hay una salida. Dada la necesidad de lograr y demostrar un nivel de anonimización irreversible equivalente al borrado, no hay otro recurso que utilizar estrategias de seudonimización. Incluso cuando los conjuntos de datos se anonimizan, deben aplicarse las técnicas de control, seguridad y trazabilidad que se aplican a los datos seudónimos.

Documentos legales citados en el texto:

• Dictamen 5/2014 del Grupo de Trabajo sobre el Artículo 29
• Reglamento General de Protección de Datos (RGPD)
• Directiva 2002/58/CE del Parlamento Europeo y del Consejo
• Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Espacio Europeo de Datos de Salud (EEDS)
• Gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Ley de Gobernanza de Datos)

Por el profesor Ricard Martínez Martínez, Director de la Cátedra Privacidad y Transformación Digital Microsoft-Universitat de València. Ponencia en el congreso GDPR Requirements for Biobanking Activities Across Europe, llevado a cabo en Perugia, Italia, en 25 y 26 de mayo de 2022.