Bioètica i Big Data de salut: explotació i comercialització de les dades dels usuaris de la sanitat pública
M.R. Llàcer, M. Casado i L. Buisan (coords.) i
Aquest document analitza, des de la perspectiva bioètica, els problemes de l’explotació i la comercialització de dades dels usuaris de la sanitat pública. Prenent com a punt de partida el reconeixement del principi d’autonomia de les persones, el Document posa de manifest que la implementació de les tecnologies big data en l’àmbit sanitari, associada a una eventual comercialització d’aquestes dades, impacta directament en el nostre sistema sanitari i investigador —fonamentat en els principis d’igualtat i no discriminació— i afecta de ple a l’àmbit privat dels ciutadans.
El motiu immediat d’aquest Document han estat els problemes detectats en el projecte VISC+ (formalment anomenat Més Valor a la Informació de Salut de Catalunya) tant en relació a possibles vulneracions dels drets dels ciutadans com a la manca de transparència i de debat públic informat en una qüestió de tanta importància com és el tràfic de dades personals, reutilitzades amb finalitats diferents de l’atenció mèdica que puguin rebre directament els ciutadans. Els arguments que aquí oferim no solament fan referència a l’esmentat projecte sinó que tenen un abast major, perquè tenen a veure amb: a) la validesa de les tècniques d’anonimització en els conjunt de dades (datasets); b) la necessitat de redefinir el concepte de dades personals, tenint en compte la possibilitat actual de reidentificar les persones i c) l’impacte d’aquests dos aspectes en els mercats emergents de big data, data marketplaces i digital marketing.
CONSIDERACIONS GENERALS
Els reptes del big data i l’anonimització
L’expressió big data és un terme que fa referència al tractament massiu de dades per mitjà d’algoritmes matemàtics a fi de generar correlacions entre elles, predir tendències i prendre decisions. Les tecnologiesbig data constitueixen un paradigma nou que, a més, implica canvis organitzatius importants tant en les empreses com en l’Administració. En l’actualitat, els objectius empresarials no són ja només la millora dels processos sinó la gestió de les dades. Estem assistint a una fase de transició cap a la datificació i la monetització, fet que comporta extreure un valor nou de les dades i rendibilitzar-les, tant en l’àmbit privat com en el públic o bé en una combinació de tots dos. Es tracta d’una tendència que s’insereix en el marc d’una indústria creixent basada en el coneixement adquirit mitjançant la reutilització de les dades i l’explotació d’aquestes, qüestió que cal tenir en compte a fi de contextualitzar el debat i entendre millor aquest canvi de model. Això no obstant, l’aposta per la innovació no ha de fer oblidar els aspectes ètics i els drets fonamentals de les persones, ni la protecció dels ciutadans en el context d’aquests nous avenços de les tecnologies. Es tracta de plantejar l’anàlisi d’aquesta situació amb la finalitat de proposar un nivell de protecció fort que suposi, per això mateix, un nivell més avançat d’innovació en aquest àmbit.
És molt important assenyalar que, fins ara, la premissa de l’anonimització de les dades ha estat la garantia que permetia respectar les regulacions de protecció de dades personals existents, en el benentès que en ser anonimitzada la dada personal passa a ser simplement una dada, perdent així la protecció de la normativa de protecció de dades personals, normativa que pretén ser rigorosa, tant a la Unió Europea com a l’Estat espanyol, però que amb els avenços de les tecnologies informàtiques després de gairebé vint anys ha esdevingut en bona part obsoleta. El problema rau en que, actualment, aquesta anonimització és palesament il·lusòria, perquè mitjançant tècniques d’enginyeria informàtica hom pot tornar a connectar les dades amb la persona font.ii
Tant la desanonimització de les dades com la reidentificació de persones són possibles si es disposa de la competència tècnica i dels mitjans necessaris per a fer-ho, per la qual cosa el debat es trasllada a un territori més tècnic i objectiu que proporciona informació i arguments que afecten directament a la cada vegada més estesa indústria de venda de dades. N’hi ha prou en saber que la reidentificació es pot fer tenint en compte el valor especial que poden adquirir determinades dades que fins ara s’ha considerat com no personals; per exemple, avui dia és prou evident que amb el codi postal, la data de naixement i el sexe ja és possible reidentificar la major part de les persones d’un dataset.De manera semblant a com les nostres empremtes digitals ens identifiquen de manera unívoca, el mateix passa amb determinades tipologies de dades. La polèmica que hi ha darrere no és gens banal: què és una dada personal i com en podem garantir la protecció?iii Com es pot evitar que a partir d’un conjunt de dades no personals es pugui identificar una persona?
Volem remarcar especialment aquest punt perquè el negoci de “posar en valor” les dades depèn precisament del concepte d’anonimització esmentat, ja que seria precisament aquest el que permetria complir amb les regulacions de protecció de dades personals. El debat sobre l’anonimització, tot i que ja té una certa història, no ha fet més que començar i és ben lluny d’estar acabat. En la nostra opinió, aquesta discussió és crucial en el segle XXI i no està tenint, ni de bon tros, la presència que li escauria en els diferents fòrums que hi tenen a veure (legals, ètics, tècnics, empresarials, governamentals) i en els quals caldria endegar el debat oportú perquè sigui compresa, primer, i resolta o si més no gestionada, després.
Com s’ha dit, actualment les evidències tècniques ja ens mostren que és possible reidentificar persones concretes a partir de les dades d’un dataset al qual s’hagin aplicat prèviament tècniques d’anonimització (o de desidentificació). Una persona, o bé una empresa, poden aconseguir la reidentificació esmentada si hi tenen interès (per motius econòmics, empresarials, delictius…), i tenen també els coneixements i els mitjans tecnològics per a fer-ho (per exemple, si disposen de les dades sanitàries d’un hospital —encara que no continguin dades personals— i d’accés a les dades personals d’un altre dataset, com ara un cens). Resulta evident que, en el cas de les dades de salut, no és difícil trobar un suposat “adversari” amb la motivació i els recursos per a fer-ho, i és escaient, per tant, qüestionar la validesa de les iniciatives de bescanvi de dades sensibles fonamentades en tècniques d’anonimització. En l’àmbit jurídic, l’incert recurs a “l’anonimització”, entesa com una solució definitiva però inevitablement en crisi, es recolza en la normativa actual de protecció de dades, que prové d’una Directiva europea de l’any 1995 —per tant, molt anterior al fenomen del big data— i que es recull en la Llei 37/2007, de 16 de novembre, sobre la reutilització de la informació del sector públic. Però si el concepte mateix d’anonimització esdevé incert, cal trobar un fonament que legitimi l’anàlisi de dades personals de salut a gran escala. Si no és així, aleshores s’està obrint la porta a usos no desitjats d’aquestes dades, car en haver donat anteriorment el titular de les dades el seu consentiment per a determinades accions en l’àmbit sanitari i de recerca, en realitat en perd el control i queda desprotegit sense que sàpiga —perquè té una concepció equivocada de la protecció de dades i del secret professional— que les seves dades poden haver sigut utilitzades o cedides per a altres fins que no són ni desitjats ni efectivament consentits.
Aquest Document no pretén rebutjar, sense més, aquest nou model de negoci que centra l’atenció del mercat i en el qual, a més, ja estem immersos, sinó que vol alertar, tant als ciutadans com als poders públics que regulen i controlen l’activitat en l’àmbit sanitari i de recerca, dels riscos que comporta. En el nostre entorn no està prou consolidada una consciència social de la importància de protegir les dades en relació amb el dret fonamental a la intimitat i a la no discriminació. No tenim una cultura de la privacitat que ens permeti comprendre de quina manera ens pot afectar que una empresa acumuli i faci rendible la nostra informació, i que disposi d’un instrument de poder en base al qual pugui prendre decisions que ens afectin.iv N’és un exemple el fet que l’anàlisi massiva de dades es pot fer servir per a descobrir efectes secundaris de medicaments, però també per a generar perfils de risc —i que els propis afectats poden no conèixer— que es podrien utilitzar per a “justificar” la denegació d’una assegurança.
Es fa evident, en conseqüència, la urgència d’un debat que posi de relleu la vulnerabilitat de les persones davant el risc de discriminació generat per perfils i patrons de conducta generats amb finalitats que la persona afectada no pot controlar, i també sobre l’adaptació de les lleis als reptes ètics i socials que les big data plantegen. Aquest és, precisament, el nucli del conflicte que cal obrir al debat públic amb implicació de la ciutadania a fi de crear una cultura de la privacitat que vagi d’acord amb l’actualitat i amb les noves realitats
Sobre el Projecte VISC
Un exemple de reutilització de dades que, des del nostre punt de vista, resulta molt qüestionable és el projecte VISC+, impulsat per l’Agència de Qualitat i Avaluació Sanitàries de Catalunya (AQuAS), que té com a objectiu —segons esmenten els seus promotors— posar la informació sanitària a disposició dels ciutadans, les empreses i la recerca per a millorar els serveis de salut i la investigació, i per a “posar en valor” el coneixement.
L’esmentat projecte es nodreix de les diferents bases de dades que ja existeixen en el sistema sanitari: el Sistema d’Informació per al Desenvolupament de la Investigació en Atenció Primària (SIDIAB) i, de manera especial, la Història Clínica Compartida a Catalunya (HC3), que recull les dades assistencials i de consum farmacèutic, juntament amb altres informacions rellevants com són la identificació i la situació sociosanitària de cada ciutadà atès per la sanitat pública; a més, la HC3 conté informació de les proves analítiques i diagnòstiques que inclouen paràmetres metabòlics i bioquímics, així com dades de diagnòstic genètic que identifiquen les persones portadores de malalties genètiques hereditàries o bé que mostren riscos i susceptibilitats de patir malalties més complexes. Aquestes bases de dades fa que existeixin “fitxers d’usuaris” dels quals n’és responsable el Departament de Salut de la Generalitat de Catalunya. Tot i que els macro fitxers de dades estan protegits per la normativa ja existent —en especial per la Llei Orgànica de Protecció de Dades (LOPD) i el Reglament que la desenvolupa— aquesta regulació ha esdevingut del tot inadequada en el marc de la nova realitat dels big data, com s’ha esmentat abans, i no garanteix de cap manera que no es produeixin usos indeguts i discriminatoris.v
La HC3 té els objectius explícits següents: a) millorar l’atenció de la salut dels ciutadans mitjançant una eina que faciliti la feina dels professionals sanitaris respecte als malalts als quals han d’atendre; b) propiciar un nou model assistencial en permetre l’accés i la consulta de forma immediata, segura i confidencial, de la informació rellevant disponible sobre els usuaris. Com és obvi, les dades que conté la HC3 són extremadament sensibles, la recollida i el tractament de les quals es justifica en la seva eficàcia per a proporcionar una assistència de qualitat, no sols en el centre que habitualment atén l’usuari sinó en tota la xarxa assistencial pública de Catalunya,vi perquè la HC3 permet l’accés de manera organitzada, i atenent a criteris de seguretat i confidencialitat, a les històries clíniques de la xarxa assistencial. Aquesta eina ha d’oferir beneficis tant a la ciutadania, com als professionals sanitaris, com al propi sistema de salut. Per aquesta raó, el ciutadà té dret a saber qui pot accedir a les seves dades personals i amb quina finalitat; i també té dret a exigir responsabilitats si creu que se n’està fent un ús indegut o distint d’aquell al qual en el seu moment va consentir. Quan es va dur a la pràctica la HC3, ni es va informar suficientment els ciutadans d’aquesta recollida massiva de dades amb finalitat assistencial, ni es va indicar en cap moment que aquestes mateixes dades podrien ser reutilitzades amb altres finalitats, fins i tot comercials. De cap manera es pot considerar que la cessió de les dades per a finalitats no assistencials sigui el “preu” de la gratuïtat de l’assistència sanitària, ja que si s’exigís algun tipus de contraprestació l’assistència deixaria de ser gratuïta.
La informació que conté la HC3, tot i ser recollida i estructurada pels professionals assistencials, fa referència a les dades de salut del malalt i, per tant, aquestes li pertanyen, per la qual cosa les entitats assistencials reben peticions relacionades amb l’exercici dels drets que la normativa sobre protecció de dades vigent reconeix a la ciutadania: drets d’accés, de rectificació, de cancel·lació i d’oposició (els anomenats drets ARCO). La finalitat d’aquest conjunt de drets és impedir un tractament il·lícit i lesiu per a la dignitat i el dret de l’afectat (habeas data), alhora que per a garantir l’exercici del dret més general a la intimitat. Els usos de les dades recollides en la HC3 s’han de limitar a l’assistència (juntament amb les finalitats científiques —en epidemiologia, investigació i docència, o bé dirigides a la millora dels serveis públics— que la normativa actual ja autoritza) i és absolutament necessari establir garanties reals que evitin el tràfic de dades i qualsevol ús indegut per part d’empreses de l’àmbit de la salut (assegurances mèdiques, corporacions farmacèutiques, entitats financeres, i altres). Per això, el projecte VISC +, tal com en aquests moments està previst que es dugui a terme, genera dubtes importants, tant de caràcter bioètic com estrictament jurídic, que convé analitzar amb detall i debatre, a fi de prevenir-ne possibles usos discriminatoris.
Problemes rellevants del projecte VISC+
1. Denominació equívoca del projecte
La mateixa denominació del projecte és equívoca i no s’adequa al principi general de lleialtat en la recollida i tractament de dades, perquè indueix a pensar que el projecte ajuda a millorar les condicions de vida i la salut dels ciutadans. Els usuaris a qui es demani el consentiment perquè les seves dades personals de salut siguin tractades en el marc d’un projecte anomenat VISC+ poden pensar, erròniament, que col·laboren en un programa que l’única cosa que pot aportar-los són beneficis. Això pot ser fàcilment relacionat amb una pràctica deslleial, entesa com una conducta contrària a la bona fe objectiva que distorsiona la capacitat d’escollir amb ple coneixement de causa i que indueix a facilitar unes dades que altrament no s’haurien proporcionat. La lleialtat és un valor fonamental en el marc de la LOPD, ja que la recollida i el tractament de dades per mitjans fraudulents o deslleials està prohibida expressament i afecta de manera directa el principi de qualitat de les dades.
2. Limitació de les finalitats en el tractament de les dades
Com bé es diu en l’informe elaborat pel Grup europeu d’ètica de les ciències i de les noves tecnologies (GEE), de la Comissió Europea, en la recollida i el tractament de dades de caràcter personal les entitats públiques i les privades han de fonamentar la seva activitat en el principi de “limitació de la finalitat”;vii és a dir, que aquest tipus de dades no haurien de ser recollides ni tractades per a qualsevol ús, sinó només amb objectius específics i legítims. Cal, a més, que les dades no estiguin per defecte a disposició de “qui les vulgui utilitzar” i que els ciutadans tinguin mecanismes efectius per a controlar i modificar les informacions que els concerneixin i que estiguin dipositades en les esmentades entitats. Insisteix també l’informe en que la possible cessió de dades amb finalitats comercials ha de fer-se només amb el consentiment explícit de les persones afectades, i que les entitats privades han d’indicar el tipus de dades que preveuen tractar i amb quin objectiu, durant quant de temps i si tenen intenció de relacionar o connectar aquestes dades amb altres procedents de diferents fonts.
Resulta especialment important, en el marc del projecte que aquí s’analitza, la gradualitat de la protecció de les dades en funció de la finalitat de l’ús, distingint acuradament les finalitats sanitària, epidemiològica i d’investigació i docència —que ja estan emparades per la legislació— de les finalitats privades, a les quals cal exigir el nivell de protecció més elevat. Ara bé, el projecte VISC+ equipara tractaments que tenen finalitats totalment diferents i aquesta confusió afecta la legitimació per tractar dades sanitàries personals, que són dades especialment sensibles i que, en conseqüència, estan sotmeses a una protecció especial.
Com ja s’ha dit, la legislació empara l’ús de dades dels usuaris de salut per a dur a terme l’assistència sanitària i per a la recerca i la millora dels serveis públics. Però si es vol anar més enllà i facilitar la utilització d’aquestes dades amb finalitats ni previstes ni autoritzades —com són els interessos comercials d’empreses privades els productes de les quals depenen de la recerca, a més d’altres factors— cal un debat social previ sobre la concurrència dels interessos públics i privats en l’àmbit de la recerca a fi definir els límits ètics i el nivell de protecció de què disposarà el ciutadà quan empreses amb interessos privats facin el tractament de dades de salut. L’empowerment del ciutadà es basteix amb informació adequada, clara i veraç sobre l’ús de les seves dades, a més de reconèixer-li la facultat de controlar el tractament de les mateixes, ja sigui consentint-hi o bé oposant-s’hi.
3. Habilitació legal vs consentiment
Comptar amb legitimació suficient és el requisit bàsic per a permetre l’accés de terceres persones a informacions o dades que pertanyen a l’àmbit personal dels afectats. Cal diferenciar entre la legitimació legal i la voluntària, basada aquesta segona en el consentiment lliurement atorgat. La primera fa referència a finalitats relacionades amb l’atenció sanitària, la qualitat i gestió del servei i a finalitats científiques (epidemiològiques, de recerca i docència). Aquesta legitimació, ja reconeguda legalment, es justifica en l’interès públic, respectant sempre escrupolosament la confidencialitat de les dades així recollides i obligant a motivar la sol·licitud d’ús de les mateixes. Pensem que el projecte VISC+, en haver estat aprovat per un mer “Acord de Govern”, no té l’habilitació legal suficient per a la reutilització de dades sanitàries, perquè la legislació sanitària només legitima per a tractar dades d’usuaris amb finalitats directament assistencials, de recerca o bé administratives. El segon tipus de legitimació, la voluntària, prové sempre del consentiment explícit del pacient. Aquest és el cas del tractament de dades amb finalitats estrictament privades, és a dir, sense interès públic evident i dirigides al desenvolupament de les indústries sanitàries, farmacèutiques i de biotecnologia, o per a la promoció i comercialització dels productes que generin. Menció a part mereixen les dades genètiques a causa de la complexitat que suposa la titularitat de les mateixes quan es compartida per un nucli familiar. Tenint en compte l’existència del binomi públic-privat en el sistema sanitari i de recerca, el problema cal centrar-lo en com convé articular la legitimació abans esmentada a fi de poder emprar la informació de salut i reutilitzar-la. Segons el nostre parer, cal que això quedi establert en una llei, tenint en compte, a més, l’enorme asimetria existent —d’informació, però també de poder— entre el ciutadà, que pateix una malaltia i que el que vol és curar-se, i el professional que li demana el consentiment, tant per a l’assistència mèdica més escaient en el seu cas com per al tractament de les dades personals de salut en general. Però ha d’estar clar que es tracta de dos consentiments diferents, i que la prestació sanitària pública no es pot condicionar al consentiment per a tractar dades amb altres finalitats, ni pot justificar la sol·licitud de dades addicionals. La conclusió que cal extreure del que s’acaba de dir és que l’obtenció del consentiment s’ha de sotmetre a pautes rigorosíssimes a fi de compensar la situació de desequilibri en què es troba l’usuari dels serveis sanitaris públics, i més en un moment en què sol estar especialment preocupat per la seva salut, la qual cosa li pot generar una situació de vulnerabilitat que el dugui a pensar a priori que totes les dades que se li demanen són imprescindibles per al seu tractament i per a rebre l’assistència que necessita i que és la raó per la qual ha acudit al sistema sanitari.
4. Valor i risc
És en aquest context que el projecte VISC+ es presenta amb la finalitat de “posar en valor” l’enorme quantitat de dades de què disposa el Departament de Salut, reutilitzant aquestes dades per a finalitats no previstes inicialment i que, per tant, l’usuari no coneix. L’expressió “posar en valor” té interpretacions diferents: d’una banda, es tractaria de posar a disposició de centres de recerca, centres d’estudis epidemiològics i de salut pública, i centres de docència que així ho sol·licitin, dades de salut dels ciutadans amb l’objectiu de contribuir al progrés del coneixement, en els àmbits específics esmentats, i també, en darrer terme, a la millora de l’atenció sanitària, i la prevenció, qüestions perfectament legítimes i que, insistim, la legislació actual ja permet. Però, d’altra banda, també se’n fa una interpretació molt més laxa pel fet de posar aquestes big data sanitàries a disposició d’empreses que difícilment entrarien en els àmbits que s’acaben d’esmentar. Si tenim en compte el principi econòmic ben conegut segons el qual big data is big business, l’escenari més probable seria el d’una pura i simple venda de les dades de salut dels ciutadans en benefici de l’empresa que estigui interessada en fer rendible aquesta informació i que disposi dels mitjans per a fer-ho. Convé remarcar que el problema no és la tecnologia, sinó el sentit i la direcció que li doni qui la utilitzi i qui la financi. El marc que proposa el projecte VISC+ permetria a les empreses interessades extreure un valor merament comercial de les dades. Els riscos potencials a què fa referència aquest Document no són ni hipotètics ni remots: n’hi ha prou amb analitzar la possibilitat de construir perfils de conducta en base a dades anònimes que en qualsevol moment es poden utilitzar per a prendre decisions automatitzades que afectin persones. N’hi ha prou de fer una passejada breu per internet per veure una bona quantitat d’empreses dedicades a la compravenda de dades i com les que ja les posseeixen —perquè són dades que ja s’han generat per a altres fins i serveis— creen, al seu torn, altres empreses i línies de negoci dedicades a la reutilització d’aquestes dades, aconseguint perfils molt precisos mitjançant encreuaments successius d’informació i altres processos d’enriquiment de dades.
5. Control de les dades
Precisament per a evitar la pèrdua de control sobre les dades i per la possibilitat d’ abús, té sentit establir funcions de Data Governance (és a dir, el control del tractament i la gestió de les dades) que han de correspondre a les entitats públiques, garants del respecte escrupolós dels drets fonamentals dels ciutadans, amb independència de com se subministrin els serveis professionals per part de les empreses adjudicatàries. Aquestes funcions de governança han d’incloure aspectes com: la seguretat i qualitat de les dades, la privacitat, els processos d’anonimització, la traçabilitat, les polítiques de permanència de les dades i l’enriquiment de dades, posant limitacions a les fonts o bases de dades amb què es poden relacionar o connectar. Aquesta preferència per les garanties que ofereix l’àmbit públic prové de les obligacions específiques de transparència i de rendició de comptes que té l’Administració, encara que el criteri de responsabilitat compartida exigiria aquesta mateixa transparència i rendició de comptes també al sector privat. La Declaració Universal sobre Bioètica i Drets Humans de la UNESCO (2005) estableix, en l’art. 14, el principi innovador de responsabilitat social en salut, principi que escau perfectament en el context que aquí s’analitza i que al mateix temps alerta sobre la necessitat d’evitar els conflictes d’interessos en un àmbit tan delicat com aquest.
El projecte VISC+ parla de governança, però merament de caràcter intern; en aquest Document, en canvi, es proposa un control extern i representatiu de la societat. Cal remarcar que l’informe de l’Autoritat Catalana de Protecció de Dades (ACPD) ja assenyala que el projecte VISC+ mereix un règim específic de seguretat encara més estricte. Segons aquest informe, el departament de Salut és a efectes legals el “responsable” del tractament de les dades, mentre que “l’entitat” (l’Agència de Qualitat i Avaluació Sanitàries de Catalunya -AQuAS) és “l’encarregada” del tractament de les dades. També la mecànica prevista en el projecte VISC+ per a l’explotació de les dades és motiu de preocupació, perquè l’empresa adjudicatària rebria les dades suposadament anonimitzades a canvi d’un preu o taxa, tot i que també s’hi diu que l’adjudicatari participaria en el procés de verificació de l’anonimització i en la materialització d’un “codi anònim de la persona” abans de transferir les dades als usuaris finals. No es diu enlloc si seria aquesta mateixa empresa adjudicatària qui es responsabilitzaria de “definir, construir i posar en marxa un catàleg de serveis útil, eficient, competitiu i innovador, i contrastar les necessitats del mercat i els clients finals del projecte, així com de definir un pla de difusió i de comercialització, canalitzant de manera adequada la demanda del mercat nacional i internacional”. En el model VISC+ no està gens clar si serien les empreses adjudicatàries qui decidirien a qui traspassen les dades de salut, presumptament a canvi de contrapartides econòmiques que tampoc no es precisen enlloc ni s’esmenta com retornarien als ciutadans. Per exemple, se cedirien bases de dades de malalts de l’hepatitis C per a desenvolupar fàrmacs que després es voldrien vendre a 60.000 € cada tractament? Precisament aquest punt seria clau, perquè en dependria de fins quin punt els clients o usuaris finals del projecte estarien disposats a contribuir-hi en funció de les expectatives de negoci que prevegin. L’ús abusiu i opac de les dades personals relacionats amb la salut genera desconfiança en la població que impedeix que aquestes dades s’utilitzin de manera legítima per a fins epidemiològics, d’investigació o docència.
6. Avaluació de l’impacte
El projecte VISC+ no inclou cap avaluació de l’impacte que, un cop engegat, pugui tenir sobre el dret a la intimitat dels usuaris, qüestió cabdal tenint en compte que estem parlant de dades tan sensibles com les de salut, en la línia del que proposa el projecte de Reglament europeu de protecció de dades. Aquesta valoració de l’impacte —també des de les perspectives ètica i social— s’ha de considerar un requisit de qualsevol llei que empari projectes com el VISC+. Ni tampoc s’especifica enlloc si els usuaris han de donar prèviament el seu consentiment per al transvasament de dades que suposa el projecte, o si s’entén que aquest consentiment no seria necessari pel fet de la interpretació laxa del concepte de recerca a què s’ha fet referència més amunt i que no diferencia entre l’interès públic i l’interès privat.
Una darrera qüestió extremadament important és que en cap moment s’explica clarament de quina manera el benefici econòmic que s’obtingués del projecte repercutiria favorablement als ciutadans i al sistema sanitari públic. Amb dades tan valuoses, i quan hi ha expectatives de beneficis i de negoci, sembla raonable que els ciutadans en rebin contrapartides clares. Si bé hom pot considerar que el lucre és un objectiu lícit, no és cert que sigui el bé primordial al qual tots els altres valors i drets hagin de sotmetre’s. El Conveni sobre Drets Humans i Biomedicina, del Consell d’Europa, vigent des de l’any 2000, estableix —en l’article 2— que els interessos de la ciència o de la societat mai no han de prevaldre sobre els de les persones, i en aquesta premissa es basa tot el sistema de ciència i tecnologia, especialment el sistema sanitari i de recerca.
7. L’experiència del National Health Servicebritànic
A banda del que ja s’ha dit, val la pena remarcar que les experiències en la línia del projecte VISC+ que s’han dut a terme en països del nostre entorn han generat conflictes molt significatius que porten a extremar les mesures de prudència abans d’endegar projectes d’aquest tipus. En efecte, la suposada anonimització de dades de salut i d’atenció sanitària recol·lectades —des de 2005 fins a 2013— pel NHS Information Centre (NHS-IC) anglès no ha impedit que diferents empreses hagin pogut identificar les persones a qui feien referència aquestes dades, causant-los diferents perjudicis, per exemple l’increment del preu de les primes de risc de les assegurances. La conseqüència ha estat una moratòria, a fi de reorganitzar el procediment de cessió de les dades de manera que sigui més transparent, que es garanteixi de forma més eficaç el dret a la intimitat i a la confidencialitat dels ciutadans. En l’actualitat, tot el procediment de tractament i cessió de les dades està sotmès en tot moment a auditoria i control públic; a més, s’ha creat el Care Data Advisory Group, grup consultor la missió del qual és enfortir la protecció dels drets dels ciutadans en l’àmbit sanitari, i el National Data Guardian, a fi de vetllar per la seguretat de les dades de salut.
RECOMANACIONS
1. Generar i potenciar una cultura ciutadana de la privacitat en matèria de dades personals. Acumular informació sobre una persona equival a adquirir poder de decisió sobre ella; en conseqüència, els mitjans per a controlar qui tracta les nostres dades, com les recapta i amb quina finalitat les utilitza es converteixen en eines tant de la llibertat personal com de la col·lectiva.
2. Informar i formar la ciutadania sobre l’abast real del fet que els processos d’anonimització de les dades ja no garanteixen per ells mateixos la irreversibilitat. Actualment són possibles la desanonimització, la reidentificació o la revelació de dades personals de conjunts d’usuaris o d’usuaris individuals, car les eines informàtiques emprades poden servir tant per a aquesta finalitat com per a la contrària.
3. Alertar sobre la necessitat de redefinir el concepte mateix de “dades personals” en què es fonamenta la legislació actual. És important tenir present que el problema no és únicament la transformació de les dades que es consideren personals en un conjunt de dades, perquè fins i tot eliminant-ne aquestes dades personals hom pot reidentificar persones concretes.
4. Aplicar escrupolosament el principi que exigeix que les dades que es recol·lectin siguin adequades a la finalitat que motiva la seva recollida, exigint que se sol·liciti i que s’obtingui el consentiment explícit dels usuaris per a la utilització de les seves dades de salut amb finalitats distintes d’aquelles per a les quals es varen obtenir en el seu moment, implementant mecanismes eficaços per a atorgar o, si és el cas, per a denegar el dit consentiment. En el cas de les dades genètiques, el consentiment ha de ser especialment exigent a causa de la possible afectació d’altres membres del nucli familiar.
5. Establir excepcions a l’exigència del consentiment informat en estudis epidemiològics, com ara: estudis de vigilància epidemiològica promoguts per les autoritats; estudis de registres sanitaris creats o reconeguts oficialment per les autoritats sanitàries; estudis en què les dades estiguin adequadament anonimitzades sense que hi hagi cap possibilitat de reidentificació de les persones; estudis de salut pública de tipus observacional, amb riscos mínims, i per als quals l’obtenció del consentiment informat sigui impossible o bé extremadament difícil, sempre que disposin del vist-i-plau d’un comitè d’ètica en investigació.
6. Potenciar un procés d’informació i de debat entre la ciutadania —basat en una valoració honesta dels riscos i beneficis, dels avantatges i perjudicis— abans de posar en marxa un projecte com el VISC+, dirigit a l’explotació de dades de salut que pertanyen als ciutadans, encara que estiguin en mans de l’Administració, a fi que aquests puguin expressar el seu parer sobre la conveniència de dur a la pràctica o no un projecte com aquest.
7. Establir mecanismes de control i concretar les funcions de Data Governance, que són responsabilitat dels organismes públics. Els processos d’anonimització de les dades s’han de dur a terme dins del perímetre intern de l’Administració, en raó de les garanties que ofereixen les obligacions de transparència i de rendició de comptes que té l’Administració, tenint present, però, que la responsabilitat compartida exigeix també transparència i rendició de comptes al sector privat, en especial en el cas de xarxes mixtes público-privades.
8. Controlar de manera específica la seguretat en el tractament de les dades sanitàries a fi de garantir en tot moment el seu ús correcte i evitar-ne la comercialització que no compti amb el consentiment explícit dels usuaris i que no prevegi de forma clara com el benefici que se’n pugui obtenir revertirà als ciutadans.
A tal fi, hi ha d’haver un òrgan de governança extern, independent dels agents implicats i representatiu de la societat catalana. Les seves funcions han de ser supervisar la gestió dels fitxers al llarg de totes les etapes del procés, verificar-ne la traçabilitat, detectar possibles conflictes d’interessos i males pràctiques, així com identificar possibles infraccions i responsabilitats, i haurà d’informar públicament de la seva actuació i resultats. D’aquesta manera, el ciutadà podria dirigir-se a aquest òrgan per a saber qui disposa de les seves dades personals i amb quina finalitat.
Per a dur a terme aquestes funcions, l’esmentat òrgan ha de promoure i aplicar un Codi Ètic per a la Reutilització de Dades de Salut.
9. Enfortir la formació en deontologia i ètica professional dels implicats en la custòdia de les dades, insistint en que qualsevol persona que tingui accés o tracti les dades té el deure de protegir i promoure els drets i llibertats fonamentals dels ciutadans afectats. El dret a la intimitat, la confidencialitat i la no discriminació són pilars bàsics del sistema de salut i de recerca.
10. Recordar que els diferents Comitès d’Ètica han de contribuir al desenvolupament de la cultura de respecte de la intimitat i la confidencialitat de les dades personals, perquè en el àmbit d’actuació que els és propi són la primera línia de defensa d’aquests drets. Els membres d’aquests Comitès han de tenir formació específica en els aspectes ètics, tècnics, jurídics i socials de les noves tecnologies a fi de poder col·laborar en la presa de decisions ponderades i proporcionals — tenint sempre present que les dades sanitàries són dades sensibles que requereixen una protecció especial— i posant atenció, a més, a no actuar de manera que puguin esdevenir mers mecanismes de cobertura d’interessos aliens.
NORMATIVA DE REFERÈNCIA
Internacional
♦ Consell d’Europa: Conveni per a la protecció dels Drets Humans i la dignitat del ser humà pel que fa a les aplicacions de la biologia i la medicina (Conveni sobre Drets Humans i biomedicina), fet a Oviedo el 4 d’abril de 1997.
♦ UNESCO: Declaració Universal sobre Bioètica i Drets Humans, de 19 de octubre de 2005.
Europea Europea Europea
♦ Carta dels Drets Fonamentals de la Unió Europea (DOUE núm. 83, de 30 de març de 2010).
♦ Directiva 1995/46/CE, de 24 d’octubre, del Parlament Europeu i del Consell, relativa a la protecció de les persones físiques relativa al tractament de les dades personals i a la lliure circulació d’aquestes dades.
♦ Directiva 2002/58/CE del Parlament Europeu i del Consell, de 12 de juliol de 2002, relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques (Directiva sobre la privacitat i les comunicacions electròniques).
Espanyola
Sistema sanitari Sistema sanitari
♦ Ley 14/1986, de 25 de abril, General de Sanidad.
♦ Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
♦ Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.
♦ Real Decreto 1093/2010, de 3 de septiembre, por el que se aprueba el conjunto mínimo de datos de los informes clínicos en el Sistema Nacional de Salud.
♦ Ley 33/2011, de 4 de octubre, General de Salud Pública.
♦ Llei 21/2000 (del Parlament de Catalunya), de 29 de desembre, sobre els drets d’ informació concernent la salut i l’autonomia del pacient, i la documentació clínica.
♦ Llei 16/2010 (del Parlament de Catalunya), de 3 de juny, de modificació de la Llei 21/2000, de 29 de desembre, sobre els drets d’informació concernent la salut i l’autonomia del pacient, i la documentació clínica.
Sistema d’investigació
♦ Real Decreto 223/2004, de 6 de febrero, por el que se regulan los ensayos clínicos con medicamentos.
♦ Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios.
♦ Ley 14/2007, de 3 de julio, de Investigación Biomédica.
♦ Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación. Protecció de dades de caràcter personal
♦ Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
♦ Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Reutilització de la informació del sector públic
♦ Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.
♦ Real Decreto 1495/2011, de 24 de octubre, por el que se desarrolla la Ley 37/2007, sobre reutilización de la información del sector público.
i Article extret de: M.R. Llàcer, M. Casado i M.R. Llàcer, M. Casado i L. Buisan (coords.) (2015) Document sobre Bioètica Document sobre Bioètica i Big Data de salut: explotació i comercialització de les dades dels usuaris de la sanitat pública Disponible al web <http://www.ub.edu/dyn/cms/continguts_ca/menu_eines/noticies/docs/OBD_bioetica_bigdata_29012015.pdf>
ii Art. 29 Working Party Opinion 06/2013 on open data and public sector information (‘PSI’) reuse (1021/00/EN WP207); Art.29 Working Party Opinion 05/2014, on Anonymisation Techniques (0829/14/EN WP216). Vegi’s: <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf>
NARAYANAN, Arvin; FELTEN, Edward W. “No silver bullet: De-identification still doesn’t work”, 2014. Vegi’s: <http://randomwalker.info/publications/no-silver-bullet-de-identification.pdf>
NARAYANAN, Arvin; SHMATIKOV, Vitaly. “Robust de-anonymization of large sparse datasets”. Security and Privacy. IEEE Symposium on IEEE, 2008, pp. 111-125.
DE MONTJOYE, Yves-Alexandre, et al. “Unique in the Crowd: The privacy bounds of human mobility”. Scientific reports, 2013, vol. 3.
OHM, Paul: “Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization”. UCLA L. Rev. 2009-2010, p. 731.
iii SCHWARTZ, Paul M.; SOLOVE. D. “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, N.Y.U. L. Rev. 1814 2011.
iv COHEN, Julie: “What Privacy is for” Harv. L. Rev. 1904, 2012-2013.
v Com el Grup d’Opinió ja va advertir en el Document sobre proves genètiques de filiació, Barcelona: Signo, 2006. Disponible a: <http://www.publicacions.ub.edu/refs/observatoriBioEticaDret/documents/07899.pdf>
vi Existeix un projecte d’un abast territorial major, desenvolupat en 12 països de la Unió Europea, en el marc de www.epSOS.eu i del que formen part Alemanya, Àustria, Txèquia, Dinamarca, Eslovàquia, Espanya, França, Grècia, Holanda, Itàlia, Regne Unit i Suïssa. De l’Estat espanyol hi participen tres CCAA: Andalusia, Castilla la Mancha i Catalunya, dins del PLAN AVANZA per a la modernització dels serveis de les Administracions públiques.
vii EUROPEAN GROUP ON ETHICS IN SCIENCE AND NEW TECHNOLOGIES: Ethics of Security and Surveillance Technologies. Opinion n. 28, 20 de maig de 2014. Vegi’s: <http://ec.europa.eu/bepa/european-groupethics/docs/publications/ege_opinion_28_ethics_security_surveillance_technologies.pdf>
