El evento “DATA SPACES IN EU: Synergies between data protection and data spaces, EU challenges and experiences of Spain”, organizado por la Agencia Española de Protección de Datos (AEPD) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA), abordó las Iniciativas Europeas de Espacios de Datos desde la perspectiva de la privacidad el pasado 2 de octubre en Madrid. En ella, el director de la Cátedra de Privacidad y Transformación Digital de la Universitat de València y miembro del IRTIC Ricard Martínez contrastó el impacto de la Ley de Datos, Ley de Gobernanza de DATOS, Reglamento europeo sobre el espacio de datos sanitarios y elementos que relacionados con su interacción.
“Tras analizar las disposiciones de cada una de estas normativas, es evidente que el objetivo del legislador es combatir lo que los académicos han definido como la falacia del consentimiento”, señaló Martínez. Es decir, se trata de una política que “complementa los derechos de transparencia y control directo sobre la oferta de datos personales de los individuos”.
En este sentido, enumeró el acceso directo a los datos por parte del interesado, la limitación de la finalidad del tratamiento de datos y del acceso a los datos sanitarios relacionados para usos primarios, el derecho a transferir los datos a terceros distintos del principal responsable del tratamiento y la gran capacidad para compartir datos en actividades de altruismo de datos.
En la opinión del director de la cátedra, la mayoría de los consentimientos obtenidos para el uso secundario de datos tienen graves problemas de validez por razones como que el usuario no entiende las políticas de privacidad que, por ejemplo, piden el consentimiento, como indican, "para mejorar la experiencia del usuario". El sujeto de los datos “se enfrenta a servicios en régimen casi de monopolio”, añade Martínez, y “existe una situación de desequilibrio, sobre todo en el caso de las redes sociales, los servicios de internet y la investigación sanitaria”.
Las tres normativas mencionadas tienen por objeto proporcionar, por lo tanto, un marco para la toma de decisiones y la portabilidad de datos (Ley de Datos), nuevos derechos de control sobre los usos secundarios (altruismo de datos) y derechos de control sobre usos primarios en salud y desarrollo de lo dispuesto en los artículos 6 y 9.2 del Reglamento General de protección de Datos (RGPD) en el EHDS.
La capacidad de diseñar carteras de consentimiento dinámicas se encuentra entre los desafíos específicos que esto plantea a los titulares de los datos y a los espacios de datos, así como garantizar métodos híbridos de recogida del consentimiento que gestionen el riesgo cultural en la brecha digital y gestionar la generación de pruebas digitales, apunta el experto en privacidad. En este último caso, enumera el apoyo humano en el mundo físico, una redacción clara y comprensible de los formularios de consentimiento, el empleo de interfaces de vídeo integradas en entornos de teléfonos móviles, los consentimientos por pasos con múltiples capas de transparencia y las validaciones de doble comprobación.
En cuanto a la gestión del riesgo para la reputación, “se debe ser justo con el interesado y ofrecer transparencia en la devolución de resultados al indicar para qué se han utilizado sus datos” y “mejorar las formas de comunicar nuestras actividades a los medios de comunicación”, remarca Martínez.
El director de la Cátedra de Privacidad y Transformación Digital de la Universitat de València y miembro del IRTIC señaló cuestiones adicionales de este ámbito, como entornos en los que proporcionar el consentimiento no es una buena idea, la recuperación de la idea del bien común y el peligro de que la obtención del consentimiento explícito para investigaciones específicas se vea socavada por la "fatiga del clic". Por otra parte, la nueva legislación presenta nuevas oportunidades y retos en materia de tratamiento de datos, fruto de las lecciones aprendidas de la divergencia de las legislaciones nacionales sanitarias.
La Unión Europea, opinó Martínez, está definiendo un enfoque de la transformación digital centrado en el ser humano mediante la promoción de servicios de intermediación públicos y privados, así como de espacios de datos europeos específicos. “La mayoría de estas políticas podrían aprender de los proyectos europeos financiados por la investigación”, apostilló el experto.
“Tal y como los define la nueva legislación, los principales fines secundarios del tratamiento de datos están directamente relacionados o son similares a las actividades de investigación e innovación”, comentó el director de la cátedra, por lo que “nos enfrentamos a diferentes legislaciones nacionales que aplican el RGPD, y la soft law proporcionada por los reguladores aumenta las divergencias”. Asimismo, continuó, “los espacios de datos federados ofrecen una metodología de tratamiento de datos a nivel local con arreglo a las legislaciones nacionales y parece que la única forma de procesar datos a escala transeuropea requiere la anonimización”.
El experto comentó que esto será problemático debido a que no hay acuerdo sobre lo que significa anonimización. Consideró necesario, pese a las dificultades, “construir una nueva cultura en torno a las tecnologías que mejoran la privacidad y que estas sean compatibles con los escenarios de seudonimización” y centrarse, además de la interoperabilidad, en la seguridad, la trazabilidad y la disponibilidad local.
Proporcionar gobernanza legal en todos los pasos, mediante la gestión de los servicios de espacios de datos, la promoción de normas claras y acuerdos específicos sobre el intercambio de datos y los términos y condiciones, y la adopción de políticas específicas vinculantes para los usuarios sobre tratamiento de datos, trazabilidad o cláusulas de no reidentificación fue uno de los nuevos procedimientos a distintos niveles que Martínez estimó necesario tener en cuenta en espacios de datos
Otro de ellos fue proporcionar gobernanza organizativa en materia de ética a través de la definición de requisitos legales y éticos, incluyendo nuevas herramientas como las evaluaciones de riesgos de IA, y la implementación de procedimientos respaldados por comités de acceso a datos o colaboraciones con nuevas partes interesadas, como los organismos de acceso a datos sanitarios.
Martínez también mencionó la definición de un personal de apoyo de alta calidad en estos aspectos, haciendo referencia a responsables de protección de datos, seguridad, datos, expertos en cumplimiento de la normativa, incluyendo la IA, y analistas de datos, entre otros.
Para finalizar, el experto en privacidad destacó la necesidad de “un nuevo enfoque por parte de autoridades independientes. La mayor parte de nuestras futuras actividades de procesamiento estarán en la frontera de una caja de arena. Ahora es el momento de aprender juntos construyendo el Sueño Europeo de la Transformación Digital”.
El IRTIC participa en el proyecto CHAIMELEON, una iniciativa que establecerá un depósito de información digital estructurado en toda la Unión Europea de datos de imágenes sanitarias. El repositorio se utilizará, entre otras finalidades, como fuente abierta controlada para la experimentación de la inteligencia artificial en la investigación sobre el cáncer. El instituto se ha centrado en comprobar que el sistema se ha diseñado basándose en los principios de privacidad y seguridad necesarios, de manera que se pueda investigar con la información disponible en la infraestructura sin menoscabar los derechos de las personas de las cuales se han obtenido las imágenes médicas.
En esta línea de protección de los datos utilizados, el instituto está inmerso en WELLBASED, que tiene el objetivo de aliviar la pobreza energética entre las personas más vulnerables y desfavorecidas, promoviendo al mismo tiempo comportamientos de eficiencia energética y reduciendo la demanda de energía en esos hogares. Hace lo propio en AI4HealthyAging, una solución basada en IA que permitirá la detección precoz y la actuación rápida en enfermedades neurológicas, motoras y degenerativas derivadas del envejecimiento.
Más información en la web de AEPD.
