Cuando el big data tropieza con la confidencialidad


La historia es sencilla. Google compró en 2014 la empresa Deepmind, especializada en inteligencia artificial y análisis de datos. Uno de sus campos de trabajo es la salud y por ello se dirigieron al Royal Free Hospital (NHS) para buscar su colaboración.

Inicialmente el objetivo era el desarrollo de la app Streams, dirigida a mejorar la actuación ante alertas en el hospital (por ejemplo tras obtener resultados de una analítica) con pacientes renales. Se firmó un acuerdo de 8 páginas en el que se establecían una serie de criterios, derechos y obligaciones de cada parte. Y el hospital cedió a Deepmind los datos de más de un millón de pacientes, que incluía los datos de pacientes renales y no renales (esto es, todos). La web New Scientist hizo un gran análisis del acuerdo y sus condiciones en este artículo.

Pese a todas las garantias legales sobre la cesión de datos, muchos medios estaban preocupados por este hecho: Google, la empresa que más sabe de una persona, con los datos clínicos. Lógicamente, el acuerdo dejaba muy claro que los datos tenían una función única: el desarrollo de la app. Pero la duda siempre estaba. Como decía este artículo de mayo de 2016: “Por ahora damos nuestros datos muy fácilmente, sin duda sin elegir hacerlo. Los pacientes del NHS cuyos datos están ahora en manos de Google probablemente lo consintieron de alguna manera, aunque sin darse cuenta de ello. Esto tiene que cambiar. Si vamos a dar a Google y otras compañías cada vez más datos, entonces debemos insistir en que nos preguntan primero, y nos digan para que los quieren“.

A principios de 2017, un organismo del NHS llamado National Data Guardian escribió a ambas partes (Google y el hospital) advirtiendo que la cesión de datos estaba realizada con una base legal inapropiada. Tal y como cuenta Sky News, la cesión se había realizado en el marco del llamado “direct care“, es decir,  con un objetivo inmediato de provisión de cuidados a los pacientes. Pero el simple hecho de haber cedido datos de todos los pacientes y no solo de los renales ya hacía sospechar a cualquiera.

Hace unos días, el organismo inglés de protección de datos (ICO) ha publicado un informe en el que señala que la cesión de datos no ha sido correcta dado que los pacientes no fueron informados de la misma. Tal y como señala este organismo: “No hay duda del enorme potencial que el uso de los datos podría tener sobre la atención al paciente y las mejoras asistenciales, pero el precio de la innovación no tiene que implicar la erosión de los derechos fundamentales de privacidad“. Sin embargo, el organismo no implica el fin del proyecto de Google, ya que se solicita al hospital que realice la cesión de datos cumpliendo con la ley (esto es, informando previamente al paciente), establecer protocolos de cesión de datos y de consentimiento de los pacientes y realizar una auditoria de la cesión actual para analizar los fallos que se han cometido.

El ICO ha publicado en su blog algunas recomendaciones para centros sanitarios basadas en el caso del Royal Free Hospital. Además mantiene en su web oficial una sección centrada en el sector sanitario. Por su parte, Google y Deepmind han publicado en su web su respuesta (aceptando los errores) tras el informe del ICO y las mejoras que están poniendo en marcha, por ejemplo: incorporar un grupo de revisores independientes a sus ensayos con datos de salud, realizar auditorias periódicas de los datos que manejan y de los procesos asociados y además han puesto en marcha una estrategia de trabajo con pacientes.

¿Cual será el futuro? La innovación y la protección de los derechos fundamentales deben ir de la mano, no hay otra solución. Pero por favor, que la ley no sea la excusa para que todo siga igual. 

eBay