A continuación, reproducimos el artículo académico Implicaciones Éticas de la Aplicación de la Tecnología  en el sector de la Salud Digital. Especial Mención a la Protección de Datos Personales en Big Data, Inteligencia Artificial, Iot y Blockchain, publicado en la revista Derecho General de Derecho Administrativo https://www.iustel.com/v2/revistas/detalle_revista.asp?id=1 (Edición Mayo 2022, revista indexada en Scopus, Q4).

Ya hemos publicado los dos primeros apartados y en este número de New Medical Economics le ofrecemos el tercero: Implicaciones éticas y de la privadicad con el uso  de Big Data e Innovación Biomédica.

IMPLICACIONES ÉTICAS Y DE LA PRIVACIDAD EN LA SALUD DIGITAL CON LA INTERVENCIÓN DE LA TECNOLOGÍA

Según el Supervisor Europeo de Protección de Datos (SEPD, 2015), la responsabilidad de dar solución al reto de la era de la digitalización podría reposar en un ecosistema interdependiente de desarrolladores, empresas y reguladores donde destacan los siguientes cuatro elementos: (i)  En primer lugar, una regulación orientada al futuro. (ii)   En segundo lugar, la responsabilidad. Se requiere de implementar políticas internas y sistemas de control que garanticen cumplimiento y proporcionar pruebas pertinentes, en particular a la supervisión independiente autoridades. Ya el SEPD contempló hace varios años la necesidad de cumplir el principio de limitación de finalidad del Reglamento Europea de Protección de datos personales y la utilización de códigos de conducta, auditorías, certificación y una nueva generación de las cláusulas contractuales para ayudar a construir una confianza sólida. Por tanto, ya se vislumbraba lo que hoy sería el marco regulatorio más fuerte y exigente del mundo en materia de privacidad. (iii) En tercer lugar, una ingeniería consciente de la privacidad. Los ingenieros de sistemas y software necesitan comprender y aplicar mejor los principios de privacidad desde el diseño en nuevos productos y servicios a través de fases y tecnologías de diseño. La Red de Ingeniería de Privacidad (IPEN) contribuye a un intercambio fructífero interdisciplinar de ideas y enfoques.(iv)   En cuarto lugar, las personas empoderadas. En estos tiempos, nos encontramos en un entorno «prosumidor» donde las personas ahora producen y consumen contenido y servicios.  Las personas deben ser capaces de desafiar los errores y los sesgos injustos que hay. Los clientes no reciben una compensación justa por las informaciones de ellos que se acaban comercializando de alguna manera. Un método alternativo para darles a los individuos un mejor control sobre sus datos, podría ser el uso de «almacenes de datos personales» o «bóvedas de datos». No obstante, el concepto de tal «tienda personal» requiere mecanismos de seguridad que garanticen que únicamente esas entidades autorizadas por el interesado pueden acceder a los datos (y solo a aquellas partes para las cuales son autorizadas). Así, por ejemplo, el «principio de portabilidad» ha demostrado ser un poderoso habilitador para la competencia y efectivamente ha reducido los precios al consumidor cuando el mercado de telecomunicaciones fue liberalizado. En ese sentido, se debería brindar a los usuarios un modelo de «autogestión de la privacidad», (Solove, 2013) donde pudieran analizar los riesgos que pueden acarrear el tratamiento de sus datos personales de salud o una «radical transparencia» (Hissembaum y Patterson)[1] evitando información opaca y entendible al usuario. En definitiva, resultará imprescindible e imperativo informar -claramente- a los usuarios sobre todas las cuestiones concretas acerca de todo tipo de tratamiento de datos realizado gracias a las tecnologías.

  • Implicación ética con Big Data

Hay una obviedad bastante conocidada: a medida que hay más tecnología el flujo de la informción es mayor, y por ende, el riesgo de impactar sobre los derechos de las personas es mayor. La consultora Gartner[2] ya predijo en su momento que, en el 2018, en el 50% de los negocios se producirían violaciones de ética debido al uso indebido de big data.

La analítica de datos permite extraer conclusiones respecto a la salud que pueden repercutir en procesos de selección laboral o la interacción con las aseguradoras de salud y cambiar la vida de las personas[3]. Como hemos mencionado, el uso de la tecnología genera «datos vaporosos» con todas sus limitaciones, sesgos y manipulaciones (Cotino, 2017)[4].

Está claro que, los sistemas tecnológicos pueden tener valores sociales incrustados o embebidos en su diseño y que éstos son contrarios a la igualdad, principios constitucionales y derechos humanos (Surden, 2017,2)[5]. Por ejemplo, los datos genéticos por su propia naturaleza, van más allá de los propios individuos, sino también a su grupo familiar, incluso de colectivos más amplios  relacionados  social,  cultural  o  étnicamente (González, 2017)[6]. Debido a la dificultad de acceso solo, algunos, pueden tratar sus datos, produciéndose una concentración de conocimiento en los grandes operadores donde los interesados parecen quedar al margen y desprotegidos.

Ahora bien, ¿cómo superar estos desafíos a través de herramientas éticas?

  • En primer lugar, es necesario evitar hacer riesgos indeseables para la sociedad, es decir, debemos analizar y conjugar desde un primer momento en el proyecto empresarial, el interés empresarial o estatal con el bien de la sociedad que supone determinado análisis de datos.
  • En segundo lugar, deberemos tener presente y actuar con la debida diligencia o «due diligence» y/o transparencia algorítmica (Cotino, 2017) respecto a los derechos de acceso a los datos de las personas. Por ejemplo, podríamos considerar un «derecho de acceso amplificado» (Miralles, 2013)[7]. Se debería perfilar como un derecho -no solo reducido a la información que contiene el responsable- sino sobre qué tratamientos ha aplicado a los datos, qué información se ha obtenido a partir d ellos datos y los usos concretos o las operaciones de disociaciones, y quizás esto podría dar una solución a la opacidad algorítmica.
  • En tercer lugar, también se actuará con «responsabilidad algorítmica», por medio de equipos multidisciplinares con «profesionales de humanidades o filósofos» (Mendoza, 2017) [8] en los comités de ética. Según este autor, «los filósofos ofrecerán conocimientos sobre la lógica, filosofía de la matemática, teoría del conocimiento, antropología, retórica, argumentación, así como capacidad para enfrentarse a problemas de textos complejos, favorecerán el razonamiento abstracto e integrar en un discurso con sentido multitud de datos que recibamos de manera fragmentada, de muy diversas fuentes y ramas del saber, además, fomentarán el espíritu crítico ante situaciones nuevas y educarán en la necesidad de la capacidad del diálogo».

Desde mi humilde punto de vista podría ser conveniente aplicar la siguiente tabla para analizar las cuestiones más relevantes en un proyecto de big data -según sus fases-, que ha elaborado acertadamente el profesor Martínez (2017, 249)[9], la cual se sirvió de la clasificación de las cuatro fases indicadas en el Informe de Big Data en Salud digital de Vodafone [10].

 

Fase Objeto Principio Jurídico
Preguntas iniciales Definir las preguntas que dan lugar al objeto del proyecto. Finalidad, proporcionalidad.
Creación del modelo •          Definir objetivos definitivos, así como la estrategia para alcanzarlos.

•          Integrar un proceso completo para poder capturar, consolidar, gestionar y proteger la información necesaria.

•          Identificarse los recursos humanos disponibles para llevar a cabo la implementación del modelo.

Finalidad, proporcionalidad, políticas de seguridad y perfiles de los usuarios.
Elección tecnológica •          Escoger soluciones de hardware y software adecuadas. Seguridad (ISO 17799, Cobit, ITIL, ISO 27000), transferencias internacionales de datos, encargado del tratamiento.
Implementación del modelo •          Obtención y almacenamiento de los datos [11](SQL o NOSQL).

•          Procesamiento.

•          Visualización.

Legitimación para el tratamiento, consentimiento, calidad de los datos, proporcionalidad, finalidad, veracidad.

 

 

4.2.      Implicaciones éticas con big data e investigación científica

Hablar de protección de datos en proyectos de big data con fines de investigación científica es pertinente llegados a este punto, máxime teniendo en cuenta en el albor tecnológico en el que nos encontramos y como están aflorando los proyectos de esta naturaleza, empleando datos masivos e inteligencia artificial.

Un caso bastante sonado por la falta de ética de datos y privacidad en investigación científica fue el ocurrido con el caso Ébola[12]  donde se recopilaron, se dieron uso y se transfirieron internacionalmente datos de identificación personal e información humanitaria sin haber realizado un diálogo en torno a los riesgos legales. La Declaración sobre integridad científica en investigación e innovación responsable de la Cátedra Unesco de Bioética de la UB[13] identificó en declaraciones previas los principios de honestidad, responsabilidad, justicia y rendición de cuentas y a la vez propuso una metodología de identificación y organización de las diversas infracciones a la integridad científica, diseñada a partir de las etapas del proceso de investigación: enunciar los objetivos, delinear las metodologías y evaluar el impacto.

Hablemos de un caso con riesgos identificados de forma específica en el sector de la salud digital, es decir, con tecnología implicada. Labrique et al. (2013)[14] han observado que las aplicaciones de m-Health traen consigo beneficios, pero requieren indudablemente de la aplicación de la ética, donde crear nuevas guías de actuación o guidelines se ha vuelto una necesidad. El ejemplo del que hablaremos tiene que ver con proyectos de investigación en VIH donde la información personal recolectada genera valor en los mismos. Gracias a la utilización de los teléfonos móviles se puede mejorar la adherencia al tratamiento antirretroviral en entornos sociales de bajos recursos. Desafortunadamente, en ocasiones, el tratamiento del VIH se ve interrumpido por las recaídas en el consumo de drogas, el encarcelamiento y otros factores de estrés psicosocial. La aplicación móvil “personalizable” facilitaba la comunicación entre los pacientes y el personal de apoyo recopilando datos personales en tiempo real que describían los factores de riesgo comunes para la falta de adherencia, como estados de ánimo negativos y uso de drogas y alcohol [15]. Unas de las soluciones que se plantean tienen que ver con la posibilidad de avisar o recordar que está activada o desactivada la monitorización, además de poner límites de tiempo para dicha monitorización y seguimiento. Otra medida organizativa que se plantea tiene que ver con el control de acceso a la información médica por parte de los diferentes profesionales (sanitarios, investigadores y no sanitarios). Además, se piensa en la necesidad de delimitar el tiempo en la duración del tratamiento de datos, además de técnicas de seguridad de cifrado. Todas estas medidas tienen que ver con cuestiones recogidas en la actual normativa europea de protección de datos personales.

En definitiva, ¿cómo podremos superar estos desafíos?

A priori, podríamos incluir una serie de medidas específicas que no deberían faltar:

  • En primer lugar, los comités de ética. La Ley 14/2007, de 3 de julio, de Investigación biomédica, ya señala su labor; ponderar los aspectos metodológicos, éticos y legales del proyecto de investigación. No obstante, como señala el profesor Martínez (2016, 63)[16], «los miembros del Comité de ética no tienen suficientes conocimientos como para analizar y verificar el impacto de privacidad». Para Martínez será fundamental que los comités de ética:
    1. desarrollen una estrategia previa de protección de datos de datos desde el diseño y por defecto «privacy by design»;
    2. apliquen las herramientas de análisis de impacto en la protección de datos;
    3. definan políticas de seguridad;
    4. verifiquen las condiciones de tratamiento anónimo o pseudónimo de los datos;
    5. una información adecuada, transparente y fácilmente comprensible facilitadora de la obtención de consentimientos;
    6. documenten la existencia de condiciones de cumplimiento normativo general y sectorial del proyecto;
    7. cuenten con la figura necesaria del delegado de protección de datos (dpd) para que pueda garantizar el cumplimiento del principio de responsabilidad proactiva tal y como establece el Reglamento europeo de protección de datos. El profesor Martínez acierta en afirmar que «el fin último de la regulación en materia de protección de datos de salud no es otro que el de evitar la discriminación y garantizar la libertad, prevaleciendo la dignidad del paciente y el cumplimiento normativo». Es innegable que la implicación de los comités de éticas a la cultura de protección de datos y privacidad -siguiendo patrones de la normativa actual- sería la solución más adecuada.

(ii)   En segundo lugar, el consentimiento «dinámico» sería otra de las medidas a tomar como base legitimadora posible. El proceso de dar consentimiento informado, en la pantalla, en un entorno donde el usuario digital no tiene acceso a la consulta, a menudo implica que éste haga clic inmediatamente sin tiempo suficiente a decidir (Comité Internacional de Bioética, 12)[17]. Por ello, se cree que un consentimiento dinámico inicial del participante en el uso de datos acompañado de sus actualizaciones sería adecuado, sirviéndose de «portales de consentimiento». Los participantes darían forma a las posibilidades de investigación a través de sus decisiones sobre qué usos quieren para sus datos. (iii)  En tercer lugar, los códigos de conducta como herramienta útil para superar los desafíos mencionados deben ser contemplada. Además, las instituciones, proveedores de salud -sector público- y organizaciones -sector privado- están obligadas a desarrollar códigos de conducta o instrumentos autovinculantes en relación con las aplicaciones de big data con consecuencias en caso de que se violen los principios éticos. El Comité Internacional de Bioética[18] señala que los códigos de conducta «serán dirigidas a los profesionales de salud, científicos informáticos, investigadores clínicos, científicos de datos y otras partes interesadas».

  • En cuarto lugar, se deberá prestar especial atención a los grupos vulnerables como menores de edad y personas con discapacidad. El CIB[19] destaca la posibilidad de introducir diversos modelos de consentimiento que se adecuen al contexto específico de la investigación científica.
  • En quinto lugar, se creará un «sistema de vigilancia global o internacional para el uso de Big Data en aplicaciones relacionadas con la salud». El CIB considera que «todas las agencias nacionales de control de datos deben trabajar conjuntamente con este sistema para el uso de big data en aplicaciones relacionadas con la salud. Este sistema coordinado podría servir como punto de partida de un instrumento jurídico internacional sobre Protección de Datos en la Atención de la Salud y la Investigación en Salud» [20].
  • En sexto lugar, implicar a las instituciones internacionales, nacionales y regionales. En este sentido, el CIB señaló que se deben definir estos estándares de acuerdo con los principios éticos de respeto, autonomía, privacidad, y transparencia. Por ejemplo, se recomienda a la ONU desarrollar y adoptar un instrumento legal sobre la protección de datos en la atención médica y la investigación en salud, a la Unesco, se recomienda que desarrolle una convención sobre la protección de la privacidad, incluido un marco para nuevos enfoques de propiedad y custodia de datos personales, y a la OMS, se alienta el establecimiento de un acuerdo mediante «tiendas» sobre la presentación de apps relacionadas con la salud donde esté presenta la autonomía de las personas.

No obstante, hay algún desafío importante que estaca en el ámbito de protección de datos y la investigación que debe ser tenido en cuenta de forma especial. Y es que el Comité Europeo de Protección de datos (EDPB)[21] en un estudio realizado recientemente ha sacado como conclusión que aunque existe cierta armonización entre los Estados se ha producido una confusión de diversos cuerpos legales y directrices (éticas) que regulan la investigación científica en áreas específicas, como biobancos, salud, epidemiología, prestaciones sociales, inteligencia artificial y estadística y esto hace que el marco jurídico de la investigación sectorial siga estando fragmentado. Además, parece que existen grandes dificultades en implantar la positividad de las medidas organizativas a diferencia de las medidas técnicas como pueden ser el control de acceso de personas no autorizadas en los sistemas.

[1] Hissembaum, H., Patterson, H. Biosensing in Context: Health Privacy in a Connect World. Recuperado de https://nissenbaum.tech.cornell.edu/papers/Nissenbaum%20H%20Patterson%20H_Biosensing%20in%20Context.pdf

[2] Vid. https://www.gartner.com/newsroom/id/3144217 [fecha de última consulta:15 de febrero de 2022]

[3] Parlamento Europeo (14 de marzo de 2017). Resolución sobre las implicaciones de los macrodatos en los derechos fundamentales: privacidad, protección de datos, no discriminación, seguridad y aplicación de la ley (2016/2225(INI)) Recuperado de  http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+TA+P8-TA-2017-0076+0+DOC+PDF+V0//ES Pto. 19.

[4] Cotino, L (2017) Big data e inteligencia artificial. Una aproximación a su tratamiento jurídico desde los derechos fundamentales. Revista Dilemata. Año 9. Nº 24.  

[5] Surden, H. (13 de marzo de 2017). Values Embedded in Legal Artificial Intelligence. U of Colorado Law Legal Studies Research Paper No. 17-17. Recuperado de  https://ssrn.com/abstract=2932333 or http://dx.doi.org/10.2139/ssrn.2932333

[6] Vid.  González, P.A. (2017). Responsabilidad proactiva en los tratamientos masivos de datos. DILEMATA. Año 9, Nñum. 24, pp. 115-129. Recuperado de https://www.dilemata.net/revista/index.php/dilemata/article/view/412000103/493.

[7] Miralles, R. (2013). Big Data vs Small low. Congrés IDP 2013 Butlletí +Kdades: Butlletí  electrònic de tecnologia, auditoria i seguretat de la informació, Nº. 24, 2013, pp. 7-8, acceso en http://dialnet.unirioja.es/servlet/extart?codigo=4329765..

[8] Zabala, G. (2017). El papel de la filosofía en la era tecnológica. Recuperado de   https://www.madrimasd.org/notiweb/analisis/papel-filosofia-en-era-tecnologica  [fecha de última consulta:15 de febrero de 2022]

[9] Supra cit.   pp. 249.

[10] Fundación Vodafone España y Red. Es. Big data en salud digital. Informe de resultados. Recuperado de http://www.fundacionvodafone.es/sites/default/files/informe_big_data_en_salud_digital.pdf pp.22-4.

[11] Gómez Pinzón, J.C. (2017). Implementación de proyectos de Big Data. (Informe final monográfico, Universidad Libre de Colombia). Págs. 8-11. Recuperado de https://repository.unilibre.edu.co/bitstream/handle/10901/11214/Implementacion%20de%20proyectosde%20Big%20Data.pdf?sequence=1&isAllowed=y [fecha de última consulta:15 de febrero de 2022]

[12] Vid.   https://cis-india.org/papers/ebola-a-big-data-disaster [fecha de última consulta:15 de febrero de 2022]

[13] Casado, M, do Céu Patrão Neves, M. Itziar de Lecuona, Carvalho, A.S., Araújo J. (2016) . Declaración sobre integridad científica en investigación e innovación responsable. Cátedra Unesco de Bioética de la Universidad de Barcelona. Recuperado de http://www.publicacions.ub.edu/refs/observatoriBioEticaDret/documents/08489.pdf

[14]Labrique, A B., et al.  (2013).  Issues in mHealth research involving persons living with HIV/AIDS and substance abuse. AIDS research and treatment”, 1‐6. US National Library of Medicine. AIDS Res Treah.  Recuperado de https://www.ncbi.nlm.nih.gov/pmc/articles/PMC3792525/  Ver también  http://eterni.me/.

[15] La aplicación fundamentalmente solicitaba a los participantes la respuesta a cuestionarios breves 1-2 veces al día para determinar el nivel de estrés que están experimentando, el consumo de drogas o los antojos y las barreras anticipadas para asistir a las citas clínicas o cumplir con su régimen antirretroviral prescrito. El VIH y el abuso de sustancias conllevan cierto «estigma social y comportamientos criminalizados». La EMA (o evolución ecológica momentánea) de patrones de actividad o firmas respiratorias se consideraron como «potencialmente invasivas para la privacidad».

[16] Supra Cit. pp.63.

[17] Supra Cit. pp 12

[18] Supra Cit. pp 23

[19] Ibídem

[20] Ibídem

[21] EDPB (2022) Study on the appropriate safeguards under Article 89(1) GDPR for the processing of personal data for scientific research. Recuperado de  https://edpb.europa.eu/system/files/2022-01/legalstudy_on_the_appropriate_safeguards_89.1.pdf.