¿Es factible un espacio común europeo de datos relativos a la salud?

Guillermo Lazcoz Moratinos
Investigador FPU Departamento de Derecho Público Universidad del País Vasco (UPV/EHU)

El 19 de febrero de 2020, la Comisión Europea publicó la Estrategia Europea de Datos (COM(2020) 66 final) con el objetivo de que el conjunto de la Unión Europea impulse y lidere la innovación basada en datos a escala mundial. Consciente del ritmo de crecimiento de la economía de datos en la última década (Vid. Castillo, 2020), esta estrategia resalta el valor de los mismos en el desarrollo económico y social y, para facilitar y aprovechar el desarrollo de dicho modelo económico, propone la creación de un entorno político-normativo atractivo a escala europea que denomina espacio europeo de datos. La Comisión entiende que las distintas acciones normativas intersectoriales y la inversión en infraestructura tecnológica necesaria, deben ir necesariamente acompañadas del desarrollo de espacios de datos sectoriales en ámbitos estratégicos, entre ellos, un espacio común europeo de datos relativos a la salud (ECEDS, en adelante).

Este espacio se considera esencial para lograr "avances en la prevención, detección y cura de enfermedades, así como para tomar decisiones informadas y basadas en evidencias para mejorar los sistemas sanitarios". Dentro del ECEDS la Comisión pretende, entre otros, elaborar medidas legislativas y no legislativas específicas en relación con el sector salud, como facilitar el establecimiento de un Código de conducta para el tratamiento de los datos personales en el sector de la salud, de conformidad con el art. 40 del Reglamento General de Protección de Datos (RGPD); o desarrollar infraestructuras, herramientas y capacidad de computación para el tratamiento de datos, sean en relación con la historia clínica electrónica o con la secuenciación del genoma, por ejemplo, que se mencionan expresamente.

Este conjunto de medidas pretende reforzar y ampliar el uso y la reutilización de datos relativos a la salud para extraer de los mismos un valor asistencial y de gestión de los servicios de salud públicos, sin que ello suponga una merma de los derechos de la ciudadanía en su acceso y disfrute de la sanidad o de su privacidad y protección de datos personales. En estas breves líneas se detallan algunas de las dificultades y retos que la Comisión debe abordar para la consecución de este espacio tan ambicioso.  

Obstáculos legislativos en el ámbito sanitario

El artículo 168.7 del Tratado de Funcionamiento de la Unión Europea (TFUE) establece que los Estados miembro son responsables de la definición de "su política de salud, así como a la organización y prestación de servicios sanitarios y atención médica", debiendo la UE respetar dichas competencias conforme al principio de subsidiariedad, y pudiendo llevar a cabo acciones con el fin de apoyar, coordinar o complementar la acción de los Estados miembros para la protección y mejora de la salud humana en virtud del artículo 6 TFUE. Este marco competencial abre la puerta a que, a su vez, cada Estado pueda establecer diferentes modelos de gobernanza para la organización de los modelos sanitarios, desde la prevalencia mayor o menor del sistema público, los distintos modelos de financiación – Beveridge y Bismark, fundamentalmente – o hasta la distribución competencial a nivel estatal, más o menos descentralizada.

Con el objetivo de paliar las limitaciones impuestas por este marco, el legislador europeo ha recurrido al mercado interior como base jurídica, tal y como se regula en el artículo 114 TFUE, para legislar en el ámbito de la salud pública. Sin ir más lejos, este es el caso de la Directiva 2011/24/UE relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza. Sin embargo, esta vía legislativa tampoco es la panacea y cuenta con limitaciones irremediables (Delhomme, 2020). Un ejercicio necesario es observar el funcionamiento de otras estructuras de cooperación europeas en el contexto sanitario, por ejemplo, la evaluación de las tecnologías sanitarias (ETS) cuya red fue creada a raíz de la mencionada Directiva 2011/24/UE y que también puso en marcha la acción conjunta EUnetHTA 3, que tienen por objetivo la mejora de la toma de decisiones sanitarias a partir de la evaluación de nuevas tecnologías sanitarias. En 2018, la Comisión evaluó el actual modelo de cooperación, concluyendo que el mismo no contribuía a eliminar la fragmentación del mercado interior (SWD(2018) 42 final), manifestando la necesidad de un nuevo marco normativo, que la Comisión ha cristalizado con el procedimiento legislativo ordinario en curso para la Propuesta de Reglamento sobre la Evaluación de Tecnologías Sanitarias, y por el que se modifica la Directiva 2011/24/UE (2018/0018/COD).

En lo que respecta a los derechos individuales de los y las pacientes, su autonomía, confidencialidad o derechos de acceso a la historia clínica, entre otros, cada Estado miembro ha desarrollado su propia legislación. Incluso, como en el caso de España, puede que esta legislación haya sido desarrollada, a su vez, por las comunidades autónomas o regiones que se correspondan. Bien es cierto que todas estas legislaciones comparten un fundamento común, el Convenio del Consejo de Europa sobre los Derechos del Hombre y la Biomedicina (Convenio de Oviedo), y en lo que se refiere a los derechos de pacientes asociados a la protección de datos personales, el RGPD obliga a una armonización de los derechos individuales significativa en este contexto. Una última arista normativa a la hora de desarrollar el ECEDS es determinar el papel de distintas instituciones sanitarias, cuya importancia normativa puede variar entre las distintas legislaciones de los Estados miembros. Ejemplo de ello podría ser la relevancia que la Disposición adicional 17ª de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), ha otorgado en España a los comités de ética de la investigación en relación con el tratamiento de datos de salud en investigación.

No puede perderse de vista que las políticas sanitarias europeas no sólo encuentran obstáculos jurídicos, como los descritos anteriormente en el marco del principio de subsidiariedad, sino que las tecnologías sanitarias también desafían valores y creencias morales o culturales que pueden repercutir en la aplicación de dichas políticas (Vella Bonano et al., 2019).

Fuente: https://unsplash.com/photos/1K6IQsQbizI

El Reglamento General de Protección de Datos como nodo normativo

Los datos son un elemento crucial en el funcionamiento de las instituciones sanitarias, y lo son a todos los niveles; en el desarrollo de la investigación científica, a la hora de prestar un cuidado asistencial de calidad o incluso para la gestión administrativa de las propias instituciones. Por ello, las tecnologías de la información y la comunicación (TIC) llevan décadas revolucionando la asistencia sanitaria, facilitando que los datos y la información fluyan a una velocidad sin precedentes entre personal investigador, asistencial y administrativo, y tanto a nivel interno como entre distintas instituciones incluso a nivel internacional. Es evidente que la configuración del ECEDS busca aprovechar los beneficios de una mejor utilización de estos datos, reforzando y ampliando el tratamiento de datos relativos a la salud, sean o no de carácter personal.

En lo que se refiere al tratamiento de datos personales, la armonización facilitada por el RGPD es un elemento clave para el desarrollo de la Estrategia Europea de Datos en su conjunto y para el espacio de datos de salud en particular, y no solo en términos de derechos de pacientes como se menciona anteriormente. Ahora bien, el propio RGPD establece en su artículo 9.4 que los "Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud", lo cual introduce un régimen de excepcionalidad para el tratamiento de datos de salud que podría resultar en una disparidad de criterios y limitaciones entre distintos Estados miembro que, a su vez, podría limitar el potencial del ECEDS. En nuestra LOPDGDD podemos ver algunos ejemplos de esta capacidad de maniobra de los Estados; en relación con el mencionado papel de los comités de ética, el uso de datos personales seudonimizados con fines de investigación en salud debe ser sometido al informe previo de un comité (DA 17ª 2.g); o la reutilización de los datos para la investigación en este ámbito será lícita cuando "habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial" (DA 17ª 2.c). Compatibilizar esta serie de especificaciones normativas que pueden variar de un Estado a otro es, sin lugar a dudas, una dificultad añadida para el ECEDS. Una de las medidas previstas por la Comisión que podría paliar los efectos de estas diferencias es el ya mencionado establecimiento, de conformidad con el artículo 40 del RGPD, de un código de conducta para el tratamiento de datos personales en el sector de la salud.

Por otro lado, excede del ámbito de aplicación del RGPD el tratamiento de datos que no tienen carácter personal, unos datos igualmente valiosos en el contexto sanitario. A pesar de la vigencia del Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea, el régimen jurídico al que se someten los datos no personales continúa careciendo de claridad y armonización, lo cual tampoco tiene que llevarnos directamente a la conclusión de que este ámbito será más complicado de abordar por el ECEDS. Especialmente relevante es la utilización de datos anonimizados en este espacio, y lo es desde dos perspectivas. Uno, será necesario garantizar que los datos anonimizados – y compartidos como tal en este espacio – no sean identificables en los términos que expone el RGPD, es decir, que el proceso de anonimización resulte irreversible. Dos, también será necesario garantizar lo declarado expresamente en el considerando noveno del Reglamento relativo a la libre circulación de datos no personales, que, si los avances tecnológicos hicieran posible transformar datos anónimos en datos personales, dichos datos se deberán tratar como datos personales y, en consecuencia, se deberá aplicar el RGPD.

Aprovechamiento del espacio común para el desarrollo de inteligencia artificial, ¿más difícil aun?

La Comisión expresa en su Estrategia que la disponibilidad de datos es fundamental para entrenar a los sistemas de inteligencia artificial (IA), así como la inversión en infraestructuras tecnológicas que permitan, precisamente, hacer uso de esos datos para dichos fines. Tampoco es casual que la publicación de la Estrategia coincidiese con la del Libro Blanco sobre la inteligencia artificial (COM(2020) 65 final) y con el Informe sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica (COM(2020) 64 final). En definitiva, podemos considerar que contribuir al desarrollo de tecnologías de inteligencia artificial es también uno de los objetivos del ECEDS.

Resulta indudable que las promesas de la IA en el ámbito sanitario son atractivas; la reducción de la incertidumbre en el ámbito diagnóstico, en el terapéutico o en la prognosis a partir de la utilización de algoritmos predictivos de aprendizaje automático parecen estar al alcance de nuestro desarrollo tecnológico. Al mismo tiempo, la IA parece traer consigo determinadas contraprestaciones, entre las más destacadas; la utilización de cada vez más complejos modelos algorítmicos hace más complicada la inteligibilidad humana de los procesos internos de los sistemas automatizados; además, estas tecnologías cuyo "aprendizaje" se basa en la experiencia a partir de ingentes cantidades de datos, reproducen e incluso amplifican los sesgos contenidos en dichos datos. La discusión jurídica en este momento está centrada, por un lado, en determinar la aplicabilidad del marco normativo vigente al uso de la IA y, por otro, en identificar las modificaciones necesarias en dicho marco para abordar los riesgos asociados a dicho uso.

Fuente: https://unsplash.com/photos/Q1p7bh3SHj8

Si pensamos en el impacto que el ECEDS puede tener en la implementación de IA en salud, la disponibilidad de datos de salud de otros Estados miembro para el desarrollo de sistemas de IA – tanto en fases de entrenamiento, testeo o incluso validación –, podría reportar beneficios cuanto menos interesantes; podría contribuir a aumentar la representatividad de las bases de datos de entrenamiento reclamada por la Comisión en el Libro Blanco sobre IA; podría fomentar la participación de las administraciones sanitarias en el desarrollo de productos sanitarios de IA (y en sus beneficios); podría permitir que los desarrolladores de productos sanitarios de IA accedan a estas bases de datos en las fases de evaluación e investigación clínica del Reglamento sobre Productos Sanitarios (MDR) y facilitar, a su vez, el cumplimiento del RGPD en dichas fases.

Aunque, una vez más, las promesas o expectativas sobre la posible relación entre el ECEDS y la IA son atractivas, no puede perderse de vista que muchos de los riesgos introducidos por estas tecnologías no han podido ser previstos ex ante, produciendo daños de carácter individual y colectivo; teniendo en cuenta que el sector de la salud es configurado por la propia Comisión como de alto riesgo en el Libro Blanco sobre IA, una llamada a la cautela parece necesaria. En el contexto del desarrollo tecnológico de la IA, el principio de precaución ha sido reclamado de forma recurrente en el ámbito de la UE (Cotino, 2019), complementarlo con el principio bioético primum non nocere, parece razonable en este contexto.

Conclusiones

El espacio común europeo de datos relativos a la salud es un paso realmente ambicioso en la transformación digital de la administración sanitaria. Los obstáculos a los que se enfrenta no son exclusivamente de carácter normativo o de inversión económica, el aprovechamiento de este espacio supone también la superación de algunas barreras políticas y culturales que existen en el contexto sanitario de la UE.

Gracias al marco normativo generado por el RGPD, es probable que el desarrollo más temprano de este espacio pueda generar valor en el ámbito de la investigación científica, desde la investigación básica a la validación tecnológica. Por supuesto, también gracias a los mecanismos de cooperación europeos ya existentes en este ámbito. El impacto directo del ECEDS en el cuidado asistencial o en la gestión de los servicios sanitarios no parece tan factible a corto plazo. En cualquier caso, es evidente la determinación de la Comisión por llevar a cabo la Estrategia Europea de Datos, lo que hace recomendable que las administraciones sanitarias se involucren en su desarrollo lo antes posible.

Investigador FPU del Ministerio de Universidades en el Departamento de Derecho Público de la UPV/EHU

Es miembro del G.I. Cátedra de Derecho y Genoma Humano y participa en proyecto el europeo de investigación «Participatory approaches to a new ethical and legal framework for ICT (PANELFIT)» (EC Grant Agreement No 788039).