Skip links
Protección de datos en ehealth e investigaciones científicas

Protección de datos en ehealth e investigaciones científicas

Este tema tiene muchísimas implicaciones y requiere de sumo cuidado y atención: la protección de datos en investigaciones científicas y eHealth.

El post de hoy se centra en un tema con muchísimas implicaciones y que requiere de sumo cuidado y atención: la protección de datos en investigaciones científicas y eHealth. ¿Qué tienen en común todas estas cosas entre sí? ¿Por qué importa la protección de datos? Recordemos que un dato personal es cualquier información que identifica -o hace identificable- a una persona. Y que, entre esa información, nos encontramos, por supuesto, con los datos de salud, que muchas veces hacen parte de trabajos de investigación, ensayos y desarrollos relacionados con eHealth. Por todo ello, es fundamental entender cuándo estamos ante un tratamiento de datos, qué hay que cumplir y cómo hacerlo

¿Cuándo aplica la normativa de protección de datos a un proyecto de investigación?

En España, en cuanto a protección de datos, tenemos dos normas de referencia:
  • El Reglamento Europeo de Protección de Datos (RGPD)
  • La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDgdd)
Estas dos normas son de obligado cumplimiento siempre que tratemos información personal que pueda llegar a identificar a su titular. En el ámbito de investigaciones y trabajos biomédicos principalmente deberemos tener en cuenta la Ley 41/2002 básica eguladora de la autonomía del paciente y la Ley 14/2007 de Investigación biomédica. Si estamos desarrollando una solución de ehealth, o llevando a cabo un trabajo de investigación y manejamos datos personales, estamos sujetos a la normativa y toca cumplirla. Un recordatorio a tener en cuenta: los datos, aun seudonimizados, continúan siendo datos personales. Por ejemplo, un número o código de empleado se puede contrastar con una base de datos y nos permite saber qué persona hay detrás del mismo. La seudonimización actúa, meramente, como una medida de seguridad, pero no evita la sujeción a la normativa. Nota: la sentencia reciente en el caso EU General Court in Case T-557/20, SRB v EDPS podemos apreciar una ligera variación que en algunos casos considera esta acción anonimización.

Datos de categoría especial: cuáles son y qué exige la normativa

El tema de la protección de datos en los ámbitos descritos tiene mucha importancia porque, por lo general, las investigaciones y trabajos de este tipo implican el tratamiento de datos de salud. ¿Y por qué es relevante esto? Porque ese tipo de datos se incluyen dentro de los que la norma llama sensibles o de categoría especial que, entre otros, son:
  • Datos genéticos
  • Datos biométricos dirigidos a identificar a una persona
  • Datos sobre salud
Si tu trabajo o investigación recae sobre alguna de las informaciones dadas, es indispensable que, antes de iniciarlo (o, si ya lo has hecho, de seguir avanzando), veas cómo cumplir la normativa. Y es fundamental hacer esto porque, con carácter general, el tratamiento de datos sensibles está prohibido por norma, si bien hay excepciones que levantan esa prohibición. No entraremos en cada una de ellas, pero sí en algunas que pueden ser interesantes para el tema que aquí tratamos:
  • Que la persona haya dado su consentimiento
  • Que el tratamiento de esos datos sea necesario con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
  • Por fines de medicina preventiva o laboral o interés público en el ámbito de la salud pública

Derecho de información de los participantes en el estudio

Como siempre decimos, la protección de datos no busca salvaguardar el “dato” como tal. La información, por sí misma, no tiene valor: lo que lo tiene es la persona que hay detrás de ella. Uno de los derechos más elementales en protección de datos -y que es, a su vez, un deber- es el de información: el derecho que tiene la persona a saber, de forma transparente, sencilla y clara, qué se hace con sus datos personales. En una investigación o trabajo de este tipo, es primordial:
  • Proporcionar al interesado la información sobre el tratamiento de datos
  • Con carácter general, esta obligación la tiene que cumplir la Universidad o centro docente de que se trate, a través de sus investigadores, docentes o similares.
  • En un estudio en que participen menores de 14 años, se informará a sus representantes. Con menores de edad mayores de 14 años, la información se adaptará para que sea accesible a estos.

El consentimiento y otras bases jurídicas aplicables

Siempre que sea posible, en un trabajo o investigación, lo preferible será evitar tratar datos personales. Pero, si es necesario tratarlos, es indispensable que se haga bien, y una parte fundamental de esto es buscar una base legal adecuada. La base jurídica más conocida para el tratamiento de datos personales es el consentimiento, pero no es la única que existe. Sin embargo, para los trabajos de investigación, especialmente si implican datos sensibles, con carácter general será la más adecuada, lo que supone que tendrá que ser obtenido de los participantes (En la Ley 14/2007 es la que recoge la Ley como base legitimadora). ¿Qué características tiene que tener el consentimiento?
  • Inequívoco, en el sentido de ser una clara acción afirmativa
  • Libre, prestado sin coacción o condiciones, voluntariamente
  • Recogido de forma clara, sencilla
  • Capaz de ser probado
  • Revocable, pudiendo ser retirado en cualquier momento
En cualquier caso, como hemos dicho, no es el consentimiento lo único que nos habilita para tratar datos personales, pues el RGPD contempla (art. 6) otras opciones. Así, en un trabajo o investigación, podríamos llegar entender que existe un interés público o incluso una relación contractual. Pero todo esto hay que analizarlo caso por caso, con un equipo especializado, y antes de empezar a trabajar.

Antes, durante y después del proyecto: cómo cumplir la normativa

Como pautas generales de cumplimiento para cada fase del proyecto, desde su comienzo a su fin, te damos algunos tips clave:

Antes del proyecto

En protección de datos, hay un concepto de vital importancia, que es el de “privacidad desde el diseño”, según el cual los tratamientos de datos hay que diseñarlos y preverlos antes de empezar a llevarlos a cabo, y no al revés. En un proyecto o investigación, debes plantearte qué quieres hacer, si lo que vas a hacer implica tratamiento de datos personales o no y cómo vas a asegurar que ese tratamiento se desarrolle de forma cumplidora. Una forma de hacer esto es valorando el riesgo y potencial impacto que el proyecto puede suponer para los derechos de los participantes.

Durante el proyecto

Es fundamental que, mientras el proyecto se desarrolla, te asegures de cumplir todas las obligaciones y recomendaciones que hemos venido dando. Por ejemplo, y con especial importancia, brindando información a los participantes y recogiendo -puede ser mediante formulario- los consentimientos necesarios. Monitorizar continuamente el entorno interno y externo de la organización es otro paso a aplicar, así como ser consciente de los cambios en la normativa. También, aplicar medidas de prevención, de formación y de recuperación ante ataques e involucrar a todos los intervinientes, a fin de que cada uno de ellos esté haciendo lo correcto para proteger la privacidad de los usuarios mientras se desarrolla el proyecto. Si surge cualquier incidente o cambio, es necesario estar preparado para darle una respuesta. Y estas obligaciones deben perdurar y mantenerse estables mientras se desarrolla el mismo.

Después del proyecto

Las obligaciones de privacidad y confidencialidad contraídas no terminan una vez el proyecto o investigación ha concluido, pues permanecen vigentes. Debes asegurarte de que todo aquello que se ha hecho para cumplir no caiga en saco roto una vez que la investigación finaliza. También es el momento idóneo para ver qué ocurre con los datos que ya no necesitas: si debes o no debes conservar algo, si has de devolver información, si tienes que destruirla (y, en su caso, de qué manera). Todo proyecto y todo tratamiento de datos es un mundo, por lo que, caso por caso, tocará analizar y definir lo que sea necesario.

Medidas de seguridad sobre los datos personales

Es preciso disponer de medidas y sistemas de seguridad que aseguren, sobre todo, medios robustos de comunicación y transmisión de los datos personales. Es fundamental analizar qué herramientas o requisitos necesitamos para asegurar que la información personal que cae en nuestras manos está segura. Esto pasa por exigir la firma de acuerdos de confidencialidad, evaluar la seguridad de los sistemas informáticos, controlar los accesos y privilegios o a quién se le envía información. Y, a nivel privacidad, hay dos instrumentos básicos que la norma regula:
  • El análisis de riesgos: implica evaluar el riesgo que la acción llevada a cabo supone en cuanto a privacidad. Pasa por describir el propio tratamiento, identificar cuáles son los factores de riesgo y el nivel del mismo, determinar la forma de tratarlo y las concretas medidas de control a aplicar.
  • La evaluación de impacto: esta acción no es obligatoria en todos los tratamientos de datos, pero sí en algunos de ellos, por lo que es necesario identificar si tu trabajo requiere de la misma o no. Te adelantamos que, si tu proyecto o investigación implica datos de salud o biomédicos, esta evaluación es obligatoria.
¿Lo anterior te deja con más dudas que antes de empezar a leer? Es normal, dado que este ámbito es muy complejo, y hay muchas preguntas que tener en cuenta. Podríamos dedicarle muchos artículos al tema, pero también puedes preguntarnos lo que necesites.

Datos de salud y tecnología: eHealth y la vigilancia sobre los usuarios

Entendemos por “eHealth” o “eSalud” cualquier atención o vigilancia de la salud enfocada desde la aplicación de tecnologías de la comunicación o la información. Un teléfono móvil, por ejemplo, permite acceder prácticamente a cualquier información sobre la vida de su portador. Y, evidentemente, no nos comportamos igual cuando sabemos que nos vigilan, vigilancia que, además, nos hace vulnerables. No entraremos en exceso en este tema, pues también tiene lo suyo. Pero sí es fundamental saber que un proyecto de estas características, sí o sí, debe cumplir con las acciones y mínimos recogidos en este artículo. Y, más allá de ello, no hay que olvidar que al mismo tiempo que se resuelve un problema o desafío médico, se hace frente a un desafío desde el punto de vista de la privacidad: son conceptos que, inevitablemente, van de la mano. Hay mucha tecnología que permite hacer que ambas ideas coexistan y funcionen; lo que hemos de lograr es buscar soluciones que ofrezcan respuestas transparentes y proporcionales e ir construyendo, progresivamente, una cultura de protección de la privacidad. Mantener la información de la persona protegida y asegurar su confidencialidad es fundamental, especialmente si hay riesgo de que esa información sea usada para estigmatizarla o discriminarla. Antes de irnos, te dejamos este enlace, en el que puedes consultar todo lo que la AEPD ha publicado sobre investigación sanitaria y ensayos clínicos.