Logo de la Universdad de Valencia Logo Unidad de Cultura Cientifíca y de la Innovación - Cátedra de Divulgación de la Ciencia Logo del portal

Dia Europeu de la Protecció de Dades: el repte d'usar informació sobre pacients en recerca

  • Unidad de Cultura Científica y de la Innovación
  • 20 julio de 2023

 

Shutterstock / LeoWolfert

 

 

Ricard Martínez Martínez, Universitat de València

 

Durant anys, i fins a l'arribada del Reglament General de Protecció de Dades (RGPD), la recerca en salut amb dades es va enfrontar a una carrera d'obstacles. Una nefasta transposició de la Directiva de Protecció de Dades, una concepció estricta de la normativa i la manca de cultura juridicotecnològica en el suport legal en els sistemes públics de salut van dificultar l'avanç en aquesta àrea. Diversos eren els factors que alentien l'ús de dades en recerca.

Al nostre país, l'ús de dades personals havia de cenyir-se a projectes de recerca concrets i no admetia ni usos addicionals ni la posterior reutilització. Una concepció estricta del principi de finalitat i la prohibició d'ús per a fins diferents van erigir la protecció de dades personals en un mur infranquejable.

No era l'únic inconvenient: presentava una enorme dificultat tècnica la interpretació jurídica de les primeres lleis de protecció de dades, la LORTAD (Llei orgànica reguladora del tractament automatitzat de dades personals) i la LOPD (Llei orgànica de protecció de dades de caràcter personal), en absència de la figura del delegat de protecció de dades en el sistema públic de salut. Generalment, portava a adoptar solucions restrictives o de prohibició.

Tot i això, el rigor científic ens obliga a subratllar que en aquells anys les mancances de l'Administració en compliment normatiu resultaven particularment greus. El doble perfil acadèmic i sanitari de molts investigadors generava escenaris de risc significatius.

 

Dades anònimes

 

La Llei de l'autonomia del pacient tractaria de pal·liar aquest estat de coses admetent dos escenaris per a la recerca: el consentiment del pacient o l'ús anonimitzat de les dades.

La legislació en matèria de recerca biomèdica, assajos clínics o qualitat i cohesió del sistema de salut pública aniria gradualment disciplinant la matèria. Ara bé, l'òptica d'aquesta legislació i la seua interpretació continuava sent profundament restrictiva.

S'afegia a això una qüestió material ben coneguda pels experts. Mentre que la Directiva, i posteriorment el RGPD, conceben el concepte d'anonimització des de la proporcionalitat, les autoritats de protecció de dades ho fan des de la irreversibilitat.

La normativa europea defineix un cànon que es basa en tres pilars:

  1. Primer, analitzar els riscos de reidentificació mitjançant singularització, inferència o vinculació.

  2. En segon lloc, considerar l'escenari des del punt de vista de les capacitats de qualsevol subjecte a l'hora de reidentificar.

  3. Finalment i tenint en compte l'estat de la qüestió, considerar anonimitzades les dades quan una tasca així exigisca un esforç desproporcionat per a qualsevol subjecte.

Tot i això, les autoritats assenyalen que l'anonimització ha d'equivaldre a un esborrament, ha de ser absolutament irreversible i, a més, preveure amb bastant antelació l'estat futur de la tecnologia. Si hi afegim les exigències metodològiques que demanen addicionalment un doble procés d'anonimització fet per equips independents, en la pràctica determina que l'anonimització és impossible o està a l’abast de molt poques entitats.

 

Ús de les dades de salut en investigació

 

La filosofia dels reguladors europeus, i de les legislacions que aplicaven, va transcendir al procés de gestació del Reglament general de protecció de dades. De fet, els seus primers esborranys van motivar l'encesa protesta de l'Associació Europea de Rectors, en què auguraven a la Comissió que el futur RGPD impediria la recerca a la Unió Europea.

El canvi operat pel vigent RGPD resulta així altament significatiu. Es reconeix el valor de la recerca, incloent-hi la recerca amb dades massives, com una finalitat d'interès públic rellevant, particularment en l'àmbit de la salut. Es disciplina un consentiment ampliat en els seus objectius i s'admet l'ús de dades per a recerca com un ús “compatible” per definició.

D'altra banda, el RGPD delegava en la legislació nacional la regulació específica en la matèria. I, de nou, seguint una inveterada tradició, el regulador va ser timorat i conservador. El projecte de Llei es decantava per una moratòria de dos anys per a regular la qüestió.

La decisió va ser criticada pels experts davant la Comissió de Justícia del Congrés i, en consulta pública, va motivar aportacions, per exemple, de les societats d'epidemiòlegs. Amb millor o pitjor fortuna, l'aprovació de la disposició addicional dissetena sobre tractaments de dades de salut de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD) va generar un nou ecosistema.

La norma és ressenyable, encara que siga només pel fet de preveure amb dos anys d'antelació un escenari de recerca en supòsits d'epidèmia. Però el seu valor crucial resideix a definir un concepte ampli de consentiment, permetre la reutilització de dades i generar un triple espai per a l'ús de dades personals en la recerca en salut: el consentiment, l'anonimització i l'ús segur de dades pseudonimitzades.

 

Reptes de les dades obertes de salut

 

Aquest nou territori permet definir un escenari per a la recerca que, garantint els drets fonamentals i aplicant la normativa sobre protecció de dades, assegura aconseguir els objectius per a la recerca retrosprectiva i prospectiva emprant l'analítica de dades en l'àmbit de la salut.

Cal subratllar que, malgrat el caràcter favorable de l'ecosistema normatiu generat, l'ús de dades de salut del sistema públic ha d'evitar un escull addicional.

D'una banda, la Llei sobre reutilització de la informació del sector públic i l'aplicació dels criteris de la Llei de transparència, als quals remet la primera, dificulten extraordinàriament la generació d'entorns de dades obertes amb dades de salut a causa dels riscos inherents als requisits que s'exigeixen en anonimització. Per altra banda, assegurar que les dades no es convertisquen en una mercaderia i se’n perda la traçabilitat constitueix un problema addicional particularment onerós.

Des de la recerca de la Càtedra de Privacitat i Transformació Digital Microsoft -Universitat de València en la col·laboració en projectes de recerca de l'Institut d'Investigació Sanitària INCLIVA, singularment BigMedilytics, i l'anàlisi de l'ecosistema de recerca de l'Institut d'Investigació Sanitària, l’IIS La Fe, i projectes com Chaimeleon, s'ha pogut assajar un enfocament basat en la idea d'afavorir ecosistemes de dades obertes controlades.

No es tracta únicament de recerca. L'experiència de l’IIS La Fe permet apreciar els avantatges que aportaria la generació d'ecosistemes de dades de salut per al seu ús amb fins primaris i assistencials. Això obriria el camí per a sistemes d'informació clínica que transcendeixen la història clínica i enriquiria les eines a la disposició dels facultatius.

Les lliçons apreses s’han aplicat amb èxit al projecte Healthdata29: guia legal i repositori per a fomentar la compartició de dades de salut de Fundación 29 patrocinat per Microsoft Ibèrica.

El marc normatiu permet aprofitar l'espai que la disposició addicional dissetena sobre tractaments de dades de salut i l'article 16 de la Llei 41/2002, d'autonomia del pacient, ofereixen a la investigació amb dades pseudonimitzades. Es tracta, a més, d'una filosofia funcional a la utilització addicional de dades personals o de dades anonimitzades.

En aquest sentit, constitueix una valuosa aportació definir un espai intermediat que oferisca traçabilitat respecte dels agents que fan recerca, que dispose d'un model de governança i que assegure un conjunt d'estratègies jurídiques i tècniques adequades al RGPD.

La innovació del legislador espanyol i la seua concreció defineixen un àmbit per a la recerca amb dades en salut que s'alinea amb les aspiracions de l'espai europeu de recerca en salut, la Directiva Open Data i la futura Data Governance Act.

La innovació legislativa, el significatiu valor afegit de la digitalització de la sanitat espanyola i l'alta qualitat científica de les àrees de coneixement concernides situen Espanya davant el repte d'innovar i aportar al lideratge europeu en aquest camp de la ciència.

 

Ricard Martínez Martínez, Professor de Dret Constitucional. Director de la Càtedra de Privacitat i Transformació Digital, Universitat de València

 

Aquest article es publicà originalment en The Conversation. Llegiu l'original.