Protección de Datos. El Tratamiento de datos de carácter personal en la investigación biomédica
I.- Los datos de carácter personal en la investigación biomédica
En lo programas y proyectos de investigación y docencia, en el ámbito biomédico, se tratan datos de “salud”. No obstante, esta terminología, tanto “dato personal” como “tratamiento”, precisan de una clara caracterización. Se define como “datos personales”: toda información sobre una persona física identificada o identificable (el/la interesado/a); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Así, valores o parámetros analíticos, no son en sí mismos datos personales, incluso imágenes radiológicas o ecográficas, siempre que no lleven identificación, difícilmente se pueden considerar “datos personales”. No obstante, hay que vigilar la posible interrelación de datos secundarios/indirectos.
Se exigen pues, procesos de seudonimización y/o anonimización de los datos de carácter personal, para un tratamiento seguro y acorde al respeto de los derechos de las personas.
II. Anonimización / seudonimización
Como señala la AEPD (Véase: https://www.aepd.es/sites/default/files/2019-09/guia-orientaciones-procedimientos-anonimizacion.pdf), la finalidad del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, es decir, además de evitar la identificación de las personas, los datos anonimizados deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva una distorsión de los datos reales.
En el proceso de anonimización se deberá producir la ruptura irreversible de la cadena de identificación de las personas. Esta cadena se compone de microdatos o datos de identificación directa y de datos de identificación indirecta.
Por su parte, seudonimización, es el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un/a interesado/a sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
La seudonimización consiste en la sustitución de un atributo/código (normalmente un atributo único) por otro en un registro. Por consiguiente, sigue existiendo una alta probabilidad de identificar a la persona física de manera indirecta, accediendo al proceso de codificación realizado; en otras palabras, el uso exclusivo de la seudonimización no garantiza un conjunto de datos anónimo.
En resumen, tanto la seudonimización como la anonimización, pretenden facilitar el uso de los datos personales de forma que durante el tratamiento no pueda identificarse a las personas titulares de dichos datos; pero, mientras que la anonimización es irreversible, es decir, en ningún caso podrá volver a reidentificarse a las personas cuyos datos se anonimizaron, la seudonimización es reversible y por consiguiente, utilizando las claves o códigos asociados a los datos seudonimizados, podrá volverse a reidentificar a dichas personas.
Sin embargo, en ambos procesos (anonimización y seudonimización) subyace un riesgo remanente: la posibilidad de reidentificar los datos; este riesgo será mayor en unos casos que en otros y dependerá de diversas circunstancias. Por ejemplo, de la cantidad de datos o de tipos de atributos que se vayan a tratar. En efecto, cabe tener en cuenta que a mayor cantidad de datos y también a mayor diversidad de tipos de atributos, más fácil puede resultar identificar a una persona, mediante la interrelación de los datos, aunque no se disponga de atributos de identificación directa.
Tanto en la anonimización como en la seudonimización de los datos han de tener en cuenta:
- Los datos que facilitan la identificación directa de un individuo (números de registro, números de identificación, nombres y apellidos, domicilios, números de teléfono, direcciones de correo electrónico, aspectos biométricos y genéticos que puedan ser utilizados para su identificación, imagen, voz, etcétera);
- Los datos que pueden contribuir indirectamente a su identificación, bien por separado o bien agrupados. Identificadores indirectos o cuasi‐identificadores: variables que en combinación con otra información permiten la identificación de las personas, p.ej.: sexo, edad, estado civil, código postal u otros datos de localización, fechas significativas (nacimiento, fecha de ingreso hospitalario, etc.), profesiones, raza, pertenencia a grupos sociales minoritarios, ingresos económicos, características antropométricas o físicas, marcas específicas, etc.
- Los datos que individualizan a la persona dentro de un conjunto (puesto o cargo: el presidente, etc.).
Hay que tener presente que las nuevas tecnologías (IA) pueden relacionar múltiples datos en archivos y redes sociales, y obtener información identificable.
Para reducir el riesgo de reidentificación, se tendrán en cuenta las siguientes indicaciones durante las actividades de extracción, seudonimización o anonimización y utilización de los datos.
Principio de Minimización. Solo se extraerán los datos estrictamente necesarios, y que tendrán en cuenta los principios de minimización de datos, de protección de datos por defecto y de seguridad.
Separación Funcional. Existirán, al menos, dos grupos bien diferenciados: por un lado, quienes realizan la extracción y seudonimizan o anonimizan los datos y, por otro, quienes realizan la investigación con datos seudonimizados o anonimizados.
Separación Técnica. El fichero o base de datos que contenga los datos identificados junto con la clave de reversión, se mantendrá en un entorno primario separado (al menos de forma lógica) del entorno secundario que contiene los datos seudonimizados.
Al entorno primario, incluyendo la clave de reversión, solo tendrán acceso las personas debidamente autorizadas, en virtud de la necesidad de conocer dicha información para el desempeño de sus funciones (personal sanitario excluyendo al equipo investigador y también al investigador principal).
Existirá un mecanismo de control de accesos que impida el acceso de quienes tengan autorización al entorno secundario seudonimizado (investigador principal y equipo investigador), a los datos identificados en el entorno primario
Medidas de seguridad. Al menos, en el entorno primario se mantendrán las medidas de seguridad aplicables establecidas para garantizar la confidencialidad, disponibilidad e integridad de los datos (identificación/autenticación; autorización; control de accesos lógicos; registro de accesos lógicos; copias de seguridad; cifrado; etc.).
Finalmente, siempre se debe tener presente que aun habiendo aplicado técnicas de minimización de datos o de seudonimización, puede que, entre los datos preservados para la explotación subsiguiente, permanezcan algunos que, combinados entre sí o con otras fuentes, los llamados identificadores indirectos o cuasi‐identificadores, permitan desanonimizar los datos, facilitando la reidentificación de las personas.
Para gestionar este tipo de riesgos se han desarrollado técnicas SDC (Statistical Disclosure Control, o Control de Revelación Estadística). Una de estas técnicas es la K‐anonimización o K‐anonimidad (véase: https://www.aepd.es/sites/default/files/2019-09/nota-tecnica-kanonimidad.pdf )
III.- Transferencia internacional de datos
Según la normativa, no se pueden transferir datos personales a países que no proporcionan un nivel adecuado de protección, sin cumplir lo dispuesto en el RGPD y en la LOPDGDD (cláusulas contractuales específicas, por ejemplo).
No obstante, hay que tener en consideración que, de una forma mayoritaria, los datos personales identificativos no son necesarios para la investigación propiamente dicha. El/la IP o los Centros, son responsables de su seudonimización/anonimización, con lo cual solo se transmiten parámetros de estudio.
En el caso de la seudonimización, solamente el/la IP pueden realizar la reidentificación, con lo que únicamente se tratan los datos de los participantes de manera codificada. De este modo, si se acreditase la realización sobre la información de técnicas que garantizasen la imposibilidad de reidentificación de los/las interesados/as, de modo que la información que pudiera transmitir a terceros no permitiría en ningún caso a los receptores de la información conocer directa o indirectamente quiénes son los/las participantes en la investigación, al no poder acceder ni directa ni indirectamente a los datos identificativos de los/las pacientes recabados con carácter previo a su codificación, se habría producido un procedimiento de anonimización de los mismos.
Por este motivo, dado que la información recibida por el receptor no podría ser calificada como dato personal, al tratarse de datos anonimizados, no serán de aplicación las normas reguladoras de las transferencias internacionales (Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia 2022).
CONSULTE:
Guía y Herramienta básica de anonimización.
Guía para profesionales del sector sanitario.
Brechas de datos personales en el sector de la salud.
Nueva sección sobre salud y protección de datos.
Código de conducta de FARMAINDUSTRIA-AEPD
