La pandemia de COVID 19 nos sitúo frente al espejo y nos devolvió al menos dos imágenes. La primera no era otra que el resultado de la aplicación de modelos formalistas, burocratizados y avejentados a la hora de gestionar los datos. La segunda, el enorme potencial que ofrece la compartición de datos, la colaboración de equipos interdisciplinares y el uso de la información sanitaria al servicio del bien común. La Unión Europea apuesta claramente por la segunda estrategia.
El error de apostar por visiones formalistas
El escenario de tratamiento y compartición de datos anterior al despliegue de la estrategia europea del dato y su apuesta por los espacios de datos produjo efectos no sólo contraintuitivos, también contrafactuales. El marco del Reglamento General de Protección de Datos (RGPD) en lugar de favorecer el tratamiento operó como barrera. Se optó por una aplicación estricta, basada en la prevalencia de la privacidad. En lugar de buscar cómo gobernar el riesgo mediante soluciones jurídicas y técnicas se decidió por no tratar datos o por anonimizaciones técnicamente complejas e inviables en la práctica.
Este modelo no es sostenible. La aceleración tecnológica obliga a trasladar el centro de gravedad de la prohibición a la gestión del riesgo y a la gobernanza de los datos. Y esta es la apuesta del Reglamento del Parlamento Europeo y del Consejo sobre el Espacio Europeo de Datos de Salud (EHDS) : encontrar soluciones y definir garantías para proteger a las personas. Y esta transformación encuentra al sector sanitario de España ante una situación inmejorable desde cualquier punto de vista, aunque no exenta de riesgos.
España, pionera en el cambio de enfoque
Nuestro país hizo los deberes con la Disposición adicional decimoséptima sobre tratamientos de datos de salud de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). La regulación soslayó la mayor parte de problemas que afectan al uso secundario de datos de salud y lo hizo con la metodología que deriva del RGPD y la jurisprudencia del Tribunal Constitucional. Para ello apostó por:
- Una clara sistematización y predeterminación normativa de los casos de uso.
- Una definición precisa de las habilitaciones para el tratamiento.
- Unas garantías procedimentales, contractuales y de seguridad.
La Disposición se adelantó cinco años al EHDS en cuanto a sus fines, objetivos y garantías. Y no sólo esto, sitúa a nuestro sistema sanitario en una posición de ventaja competitiva desde un punto de vista jurídico y material.
Desde este punto de vista el Espacio Nacional de Datos de Salud como eje vertebrador es un proyecto tan imprescindible como inaplazable, tal y como refleja la estrategia de Salud Digital del Sistema Nacional de Salud y el Plan de Recuperación, Transformación y Resiliencia . Sin embargo, esta afirmación no puede sustentarse en un entusiasmo acrítico. Queda mucho trabajo por hacer.
Lecciones aprendidas y retos a superar
Los proyectos europeos de investigación gestionados por el ecosistema de fundaciones sanitarias en el Instituto Carlos Tercero , la universidad y la empresa, proporcionan lecciones interesantes. En nuestro país se trabaja en medicina de precisión, en la construcción de data lakes, en aplicaciones móviles, en altas capacidades de seudonimización y anonimización, en imagen médica, en inteligencia artificial predictiva …, y podríamos seguir. Este ecosistema necesita una capa de innovación en materia de gobernanza. Una parte de ella será proporcionada directamente por el EHDS. Los organismos de acceso a datos, la autoridad de control y las estructuras de acceso transfronterizo asegurarán el ciclo de vida desde la conformación de conjuntos de datos catalogados y confiables a su tratamiento efectivo. Estas infraestructuras de gobierno requieren de un despliegue organizativo y humano que los soporte. La experiencia previa ayuda a prever los riesgos que pueden suponer una prueba de esfuerzo para el conjunto de la cadena de valor:
- La formación de los recursos humanos en aspectos cruciales en materia de protección de datos, seguridad de la información y nuevas exigencias éticas no es siempre la adecuada ni en su formato, ni en su volumen, ni en la segmentación de perfiles. No se forma al 100% de la plantilla, mientras la formación continua voluntaria para profesionales de la salud es de alto nivel jurídico, causando un efecto tan contraproducente como perverso: cercenar la capacidad de innovar. Si en lugar de empoderar y generar compromiso ofrecemos una interminable lista de obligaciones del RGPD, el personal investigador acaba por autocensurar su capacidad de imaginar. Se confunde el contenido y el target formativo. La formación de alto nivel debería centrarse en los project manager y en el personal de soporte técnico y jurídico. Y en estos, cumplen una función vehicular, la persona delegada de protección de datos que es quien debe prestar un asesoramiento no binario, - del tipo legal o no legal-, y no puede trasladar toda la responsabilidad al equipo investigador.
- La gobernanza de los recursos de tratamiento y de los procesos debe mejorar. En determinadas áreas de investigación, y las universidades son el mejor ejemplo de ello, los sistemas de información se segmentan y manejan en el nivel más reducido de proyecto o equipo de investigación. Son recursos insuficientes, con escaso nivel de control en la gestión del riesgo y la monitorización de la seguridad, incluido el soporte a la gestión y mantenimiento del entorno de tratamiento. Por otra parte, los procedimientos de acceso a los datos se basan en modelos rígidos, anclados en el estudio de caso o el ensayo clínico. Así, en no pocas ocasiones, manejamos conjuntos de datos en entornos muy específicos ajenos a los centros de proceso de datos principales. Ello multiplica el riesgo, y los costes en materias como las evaluaciones de impacto relativas a la protección de datos o el despliegue de medidas de seguridad.
- La carencia de personas expertas puede plantear riesgos sistémicos. Para empezar, los Comités de Ética se enfrentan a cuestiones de protección de datos y ética de la inteligencia artificial que desbordan sus hábitos, costumbres y conocimientos, y apolillan sus procesos. De otro, lo que vulgarmente hemos denominado big data no es algo que se realice por arte de magia. La seudonimización o la anonimización, la anotación, el enriquecimiento y la validación del conjunto de datos y de los procesos que sobre ellos se implementan, exigen profesionales con altas capacidades.
Efectos del EHDS
Deberíamos reflexionar si nuestra posición destacada en digitalización pudiera a la vez ser nuestro talón de Aquiles. Pocos países poseen un alto grado de digitalización de cada uno de los niveles de atención sanitaria, de la primaria a la hospitalaria. Prácticamente ninguno ha regulado el uso de datos seudonimizados sin consentimiento, ni tampoco el modelo de consentimiento amplio de nuestra LOPDGDD. En este sentido, bajo el paraguas del EHDS podrían producirse dos efectos que debemos manejar:
- Nuevas oportunidades en proyectos de investigación. En primer lugar, tan pronto como las instituciones sanitarias españolas publiquen sus catálogos de datos a nivel europeo, las peticiones de acceso desde otros países podrían multiplicarse. Y con ello las oportunidades de participación en proyectos de investigación como proveedores de información, data holders, o como usuarios de datos.
- Impulso del ecosistema de empresas innovadoras. Por otra parte, el amplio abanico de usos secundarios que prevé el EHDS, ampliará el perfil de los agentes que presentarán solicitudes de acceso a datos. Ello apunta la posibilidad de alumbrar un ecosistema propio de empresas innovadoras para el despliegue de soluciones de salud desde el wellness (bienestar) al diagnóstico médico asistido por una inteligencia artificial.
Esto obliga a los responsables del sistema público de salud a hacerse una pregunta más bien sencilla: ¿qué nivel de disponibilidad, capacidad de proceso, seguridad e interoperabilidad pueden ofrecer los sistemas de información disponibles? No olvidemos que detrás de muchos proyectos de investigación transeuropeos, o del despliegue de herramientas de Inteligencia Artificial en el sector sanitario, existen presupuestos millonarios. Y ello presenta enormes oportunidades para profundizar en el despliegue de nuevos modelos de prestación de servicios de salud que, además, retroalimenten la investigación, la innovación y el emprendimiento. Pero también el riesgo de no ser capaces de aprovechar los recursos disponibles por carencias en el diseño de los repositorios y de sus capacidades de proceso.
¿Qué modelo de espacio de datos perseguimos?
La respuesta a esta pregunta se encuentra de modo muy claro tanto en la estrategia de espacios de datos de la Unión Europea, como en la propia estrategia del Gobierno de España. La tarea que el EHDS atribuye a los organismos de acceso a datos, más allá de la mera concesión de un permiso de acceso, es la de soporte y apoyo al desarrollo del tratamiento. Y para ello, se necesita de un Espacio Nacional de Datos de Salud que asegure el nivel de servicio, los estándares de anonimización o seudonimización, la interoperabilidad y la seguridad de la información.
En este contexto, los investigadores individuales en entornos ajenos a la salud, pero sobre todo las pequeñas y medianas empresas innovadoras, no poseen el músculo y la experiencia necesaria para satisfacer los requerimiento éticos y normativos. Por ello, no debería desdeñarse la necesidad de proporcionarles apoyo desde el punto de vista del diseño de modelos de compliance normativo y ético, si no se desea que estos operen como barrera de entrada o exclusión.
Y ello no excluye ni precluye los esfuerzos autonómicos, los que realizan fundaciones u hospitales de referencia o las infraestructuras de datos nacientes en el ámbito de la imagen médica de cáncer o la genómica. Precisamente, la idea de federación de espacios de datos que inspira la legislación europea puede rendir aquí frutos de una altísima calidad. El Ministerio de Sanidad y las Consejerías de Salud deben avanzar en esa dirección, con el apoyo del nuevo Ministerio de Transformación Digital y Función Pública. En las comunidades autónomas se reflexiona y actúa para el desarrollo de modelos gobernables y se participa, junto con el Ministerio de Sanidad, en el modelo de gobernanza que debe regir en el marco nacional. Reguladores como la Agencia Española de Protección de Datos están ofreciendo marcos de referencia viables para el desarrollo de los espacios de datos. Hospitales enteros diseñan, implementan y despliegan sistemas de información que buscan la integración de centenares de fuentes de datos y la generación de data lakes para la investigación. Infraestructuras de datos como EUCAIM abren el camino y generan know how de alta calidad en ámbitos altamente especializados.
Los trabajos para el despliegue de un Espacio Nacional de Datos de Salud, y todas y cada una de las iniciativas singulares en marcha, nos muestran un camino a seguir en el que la federación del esfuerzo, la solidaridad y la compartición de datos aseguren que nuestra posición de privilegio en digitalización sanitaria estimule el liderazgo en la investigación, la innovación y el emprendimiento digital en la salud. El Espacio Nacional de Datos de Salud podrá ofrece un valor diferencial a los partícipes. Proporcionará calidad y volumen de datos, soportará herramientas avanzadas de analítica de datos e IA intensivas en cómputo y podrá proveer seguridad en los procesos de intermediación de software para el tratamiento de datos seudonimizados con altos requerimientos.
Es necesario recordar un valor central para la Unión Europea: la garantía de los derechos fundamentales y el enfoque centrado en el ser humano. La Carta de derechos Digitales impulsada por el Gobierno de España propone sucesivamente el derecho de acceso a datos con fines de investigación científica, innovación y desarrollo, así como el derecho a la protección de la salud en el entorno digital. El Espacio Nacional de Datos de Salud está llamado a ser el instrumento indispensable para alcanzar una salud digital sostenible, inclusiva y al servicio del bien común, que a la vez impulse esta dimensión de la economía del dato, promoviendo la investigación y el emprendimiento en nuestro país.