Ricard Martínez Martínez

Privacidad, salud y transformación digital los retos del Big Data y lainvestigación.

Privacidad, salud y transformación digital los retos del Big Data yla investigación

Tratar datos:Protegemos personas

Transformación digital

● Cloud. Machine learning: Dirigido. No dirigido. Deep-learning + cajas negras.

● Analítica.● Inteligencia artificial.● Medicina en la transformación digital:

Preventiva. Poblacional. Predictiva. Participativa. Personalizada.

● De lo retrosprectivo a lo prospectivo

El impacto Transformación Digital

● Un modelo “constitucional”: hablamos de derechos fundamentales.● Un modelo de “mercado regulado de privacidad”.● Un modelo más enfocado al tratamiento de los datos personales de loseuropeos.● Un cambio de mentalidad en el responsable: la accountability El cliente/interesado en el centro

● Un modelo abierto a los fenómenos de internet

Un modelo constitucional europeo

Reglamento general de protección de datos

• Obligaciones del responsable.– Accountability.

• Documentación/registro de los tratamientos.• Privacidad por defecto y privacidad desde el diseño.• Seguridad y análisis de riesgos. Notificación de incidentes.• Evaluación de impacto relativa a la protección de datos.• Protocolos / procedimientos• Los códigos de conducta y las certificaciones.

Lo que ya sabíamos

Lo que dice la AEPD

Lo que pasa

Lo que piensan

Lo que acaban pensando

Lo que podría pasar

En realidad

¿Cómo debería funcionar?

¿Y la organización?

Gestionar el cambio

Controlar el riesgo

Investigación biomédica

● El tratamiento de datos personales con fines de investigación científica es legítimo (C-53).● Todo tipo de investigación (C-159) Investigación básica o fundamental Investigación aplicada. Investigación sector privado.

● Concepto amplio de consentimiento (C-33).● Limitaciones en publicación.● Los estados miembros pueden regular condiciones.● Garantías adecuadas (C-156): Minimización de datos: proporcionalidad y necesidad. Pseudonimización. Seguridad Excepciones a los derechos.

● Legitimación de la analítica de datos (C-157).

Escenario 1 Anonimización

● (…) Los datos personales seudonimizados, que cabría atribuir a una persona física mediante lautilización de información adicional, deben considerarse información sobre una persona física identificable.● Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios,como la singularización, que razonablemente pueda utilizar el responsable del tratamiento ocualquier otra persona para identificar directa o indirectamente a la persona física.● (…) deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios parala identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como losavances tecnológicos.● Los principios de protección de datos no deben aplicarse a la información anónima, es decirinformación que no guarda relación con una persona física identificada o identificable…

GDPR ¿Siempre hay datos?

El esfuerzo para decir que es imposible

● i) ¿Se puede singularizar a una persona?

● ii) ¿Se pueden vincular registros relativos a una persona?

● iii) ¿Se puede inferir información relativa a una persona?

24

● Riesgos: Seudonimizar no es anonimizar. Sobre ciertos datos, incluso anónimos, pueden existir obligaciones jurídicas. Ciertos usos (profiling) pueden producir efectos:

“aplicar patrones” Expectativas del interesado.

TransparenciaRelaciones con el responsable.

Obligaciones legales o personales contraídas.

25

26

Un esfuerzo muy exigente

● Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.Artículo 3. Ámbito objetivo de aplicación.3. La presente Ley no será aplicable a los siguientes documentos que obren en las Administraciones yorganismos del sector público previstos en el artículo 2:a) Los documentos sobre los que existan prohibiciones o limitaciones en el derecho de acceso en virtudde lo previsto en el artículo 37 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de lasAdministraciones Públicas y del Procedimiento Administrativo Común, en la Ley 19/2013, de 9 dediciembre, de transparencia, acceso a la información pública y buen gobierno y las demás normas queregulan el derecho de acceso o la publicidad registral con carácter específico.

● Consecuencias: sólo se admite publicación y acceso anonimizados (arts 5 y 15 LTBGAE)

Datos anónimos y open data

● DIRECTIVA (UE) 2019/1024 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 20 de junio de 2019 relativa a los datosabiertos y la reutilización de la información del sector público (versión refundida). Condiciones de reutilización de los datos de investigación financiada con fondos públicos (C-26 y C-28). Exclusión datos personales:

h) los documentos cuyo acceso esté excluido o limitado en virtud de regímenes de acceso por motivos de protección de los datospersonales, y las partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización sehaya definido por ley como incompatible con la legislación relativa a la protección de las personas físicas con respecto al tratamientode los datos personales o como un menoscabo de la protección de la intimidad y la integridad de las personas, en particular deconformidad con la legislación nacional o de la Unión sobre protección de datos personales; (artículo 1.2.h)

(10.1) Los Estados miembros apoyarán la disponibilidad de los datos de investigación mediante la adopción de políticas nacionales yactuaciones pertinentes destinadas a hacer que los datos de la investigación financiada públicamente sean plenamente accesibles(«políticas de acceso abierto») en aplicación del principio de apertura por defecto y de compatibilidad con los principios FAIR. En estecontexto, deberán tenerse en cuenta las inquietudes relacionadas con los derechos de propiedad intelectual e industrial, laprotección de datos personales y la confidencialidad, la seguridad y los intereses comerciales legítimos de conformidad con elprincipio «tan abiertos como sea posible, tan cerrados como sea necesario». Estas políticas de acceso abierto se dirigirán a lasorganizaciones que realizan actividades de investigación y a las organizaciones que financian la investigación.

Nuevos escenarios

● REGLAMENTO (UE) 2018/1807 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de noviembre de 2018relativo a un marco para la libre circulación de datos no personales en la Unión Europea (Texto pertinentea efectos del EEE).● Posición de la Comisión (COM (2019) 250 final): Datos no personales:

No personales en origen Anonimizados

● Conjuntos de datos mixtos. Si están “inextricablemente” ligados aplica RGPD. En salud se señala que “la frontera entre datos personales y no personales es cada vez menos nítida”. Aplica RGPD.

Escenario 2: hay datos

Interpretación integrada

OBLIGACIONES GENERALES

OBLIGACIÓN ART.

Deber de probar el cumplimiento del RGPD y en particular del consentimiento 5, 7

Responsabilidad proactiva 5,24

Obtención del consentimiento de las personas interesadas 6

Obtención del consentimiento de menores 8

Legitimación para el tratamiento con fines de investigación, con o sin consentimiento conforme a la ley nacional 9.1.j)

Transparencia y derechos a la transparencia y los derechos de acceso, rectificación, supresión, limitación del tratamiento,portabilidad y oposición al tratamiento

12 a 23

Definir roles y responsabilidades en caso de corresponsabilidad en el tratamiento (colaboración en investigaciones bajo laresponsabilidad de distintas instituciones)

27

Diseñar la investigación conforme a las reglas de protección de datos desde el diseño y por defecto 25

Analizar los riesgos asociados al tratamiento, y en su caso, realizar una evaluación de impacto en la protección de datos 24, 35

Diseñar e implementar medidas de seguridad 32 a 34

Implicar al delegado de protección de datos 37 a 39

Definir un proceso de autorización de la investigación e integrar el tratamiento en el registro de las actividades de tratamiento 30

Considerar las prestaciones por terceros, o la universidad como sujeto prestador y formalizar un contrato de encargado deltratamiento

28

Considerar posibles flujos internacionales de datos personales 44 a 50

El pack…. GDPR

PREVISIONES ESPECÍFICAS

PREVISIÓN ART.

Compatibilidad de la finalidad para el uso con fines de investigación yposibilidad de mantenimientos de los datos más allá de su ciclo de vida paraestos fines.

5

Investigación epidemiológica (salud pública) sin consentimiento 9.1.i)Excepciones al derecho de información o transparencia cuando los datos nose obtuvieron directamente del interesado

14.5.b

Excepciones al derecho de supresión 17.3.d

Derecho de oposición al tratamiento y excepciones 21.6

Legitimación del tratamiento adoptando garantías específicas 89

OBLIGACIONES GENERALES

OBLIGACIÓN ART. LOPDGG Obtención del consentimiento de las personas interesadas sin necesidad de ley específica 6, 9

Consentimiento de los menores 8Transparencia (información por capas) 11Derecho de acceso (remoto) 13Criterios sobre riesgos a considerar en la evaluación de impacto en la protección de datos 28.2.c/dSupuestos de corresponsabilidad 29Registro de las actividades de tratamiento público 31.2Bloqueo de los datos 32Encargado del tratamiento 33Delegado de protección de datos 34.1.b, 36, 37

Transferencias internacionales de datos personales con intervención de la Agencia Española de Protección de Datos 41-43

Medidas de seguridad. Esquema Nacional de Seguridad en el Sector Público. DA-1

El pack local

DISPOSICIÓN ADICIONAL DECIMOSÉPTIMA. INVESTIGACIÓN BIOMÉDICA

REGULACIÓN

Consentimiento Podrán abarcar categorías relacionadas con áreas generales vinculadas a unaespecialidad médica o investigadora.

Sin consentimiento Autoridades sanitarias e instituciones públicas con competencias en vigilancia de la saludpública para estudios científicos en situaciones de excepcional relevancia y gravedad parala salud pública

Reutilización

Se considerará lícita y compatible la reutilización de datos personales con fines deinvestigación en materia de salud y biomédica cuando, habiéndose obtenido elconsentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreasde investigación relacionadas con el área en la que se integrase científicamente el estudioinicialDeber de información.Informe previo favorable del comité de ética

DISPOSICIÓN ADICIONAL DECIMOSÉPTIMA. INVESTIGACIÓN BIOMÉDICA SEUDONIMIZACIÓN

REGULACIÓN

Requisitos

Separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conservenla información que posibilite la reidentificación.Compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.Medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados

Reidentificación Cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de unpeligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza gravepara sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.

DISPOSICIÓN ADICIONAL DECIMOSÉPTIMA. INVESTIGACIÓN BIOMÉDICA

REQUISITOS COMUNES ADICIONALES

Excepciones a losderechos

1.º Los citados derechos se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados oseudonimizados.

2.º El ejercicio de tales derechos se refiera a los resultados de la investigación.

3.º La investigación tenga por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública uotros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por unanorma con rango de Ley.

Obligacionesadicionales

Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento en los supuestos previstos en el artículo 35 delReglamento (UE) 2016/679 o en los establecidos por la autoridad de control. Esta evaluación incluirá de modo específico los riesgos dereidentificación vinculados a la anonimización o seudonimización de los datos.

Someter la investigación científica a las normas de calidad y, en su caso, a las directrices internacionales sobre buena práctica clínica.

Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no acceden a datos de identificación de los interesados.

Informe previo del comité de ética de la investigación previsto en la normativa sectorial. En defecto de la existencia del mencionado Comité,la entidad responsable de la investigación requerirá informe previo del delegado de protección de datos o, en su defecto, de un experto conlos conocimientos previos en el artículo 37.5 del Reglamento (UE) 2016/679.

En el plazo máximo de un año desde la entrada en vigor de esta ley, los comités de ética de la investigación, en el ámbito de la salud,biomédico o del medicamento, deberán integrar entre sus miembros un delegado de protección de datos o, en su defecto, un experto conconocimientos suficientes del Reglamento (UE) 2016/679 cuando se ocupen de actividades de investigación que comporten el tratamiento dedatos personales o de datos seudonimizados o anonimizados.

● Donantes de datos● Seudonimizar: Artículo 16. 3. de la Ley 41/2002

El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Separación funcional Soft Anonimyzation. Compromiso contractual Seguridad

Dos apuestas

● Usos primarios: Relacionados con la investigación. Relacionados con la salud del paciente.

● Relacionados con la salvaguarda de la salud del paciente. Base legal: una obligación legal del responsable.

Previa, clara, precisa, incondicional. Coherente con los principios de necesidad, proporcionalidad y finalidad.

Artículo 41 a 43 (CTR) Notificación por el investigador de acontecimientos adversos y acontecimientos adversos graves al promotor Notificación de sospechas de reacciones adversas graves e inesperadas a la la Agencia Europea de Medicamentos.Notificación anual del promotor a la Agencia

Conservación del archivo maestro del ensayo clínico por 25 años (artículo 58 CTR)Artículos. 77 a 79 (funciones de supervisión).

Inspecciones por los Estados miembrosControles de la Unión

Base legal en GDPR:Para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos

sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros(9,2,i) GDPR)

Categorías de tratamientos:

● Consentimiento explícito. El consentimiento para el ensayo clínico no equivale al de GDPR.

Responde criterios éticos sobre la participación (Helsinki Declaration) y garantiza la dignidad humana. El consentimiento para el tratamiento de datos personales debe seguir los principios de RGPD. Para el EDPB es crucial “freely given consent”

this element implies real choice and control for data subjects consent should not provide a valid legal ground for the processing of personal data in a specific case where there is

a clear imbalance between the data subject and the controller (y tampoco en CTR).As a matter of example, the EDPB considers that this will be the case when a participant is not in good health conditions, when

participants belong to an economically or socially disadvantaged group or in any situation of institutional or hierarchical dependency

data controllers should conduct a particularly thorough assessment of the circumstances of the clinical trial before relying on individuals’ consent as a legal basis for the processing of personal data for the purposes of the research activities of that trial

Relacionados con la investigación

● Revocación al consentimiento. La revocación del consentimiento en CTR no equivale a GDPR. GDPR: si es libre puede retirarse en cualquier momento y no hay limitaciones en la

investigación. Los tratamientos previos siguen siendo válidos. Se interrumpe el tratamiento y no puede seguirse salvo que concurra otra base legal. Cesarán todas las actividades de investigación realizadas con los datos del ensayo clínico

relativos a dicha persona. La revocación del consentimiento no afectará a los tratamientos que se basen en otros

motivos legítimos, en particular las obligaciones legales a las que esté sujeto el promotor/investigador, como las relacionadas con la seguridad

● Sin consentimiento. EL EDPB se refiere al artículo 6.1: e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos

conferidos al responsable del tratamiento; Base legal The processing of personal data in the context of clinical trials can thus be considered as necessary for the performance of a task carried out in the

public interest when the conduct of clinical trials directly falls within the mandate, missions and tasks vested in a public or private body by national law (no es necesario que sea específica)

The EDPB considers that depending on the specific circumstances of a clinical trial, the appropriate Article 9 condition for all processing operations of sensitive data for purely research purposes could either be “reasons of public interest in the area of public health [...] on the basis of Member State law” (Article 9(2)(i)), or “scientific ... purposes in accordance with Article 89(1) based on Union or Member State law”(Article 9(2)(j)).

● f) Interés legítimo: where the conduct of clinical trials cannot be considered as necessary for the performance of the public interest tasks vested in the controller by

law, the EDPB will consider that the processing of personal data could be “necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject” following Article 6(1)(f) GDPR.

the legal basis identified under Article 6 shall be applied only if Article 9 GDPR provides for a specific derogation from the general prohibition to process special categories of data.

Artículo 9 LOPDGDD exige consentimiento.DA-XVII.2.b) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios

científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.

● De nuevo el consentimiento de CTR y el de GDPR no equivalen. CTR ordena recogerlo con el ensayo (artículo 28).

The CTR considers consent for this specific processing purpose should be sought from the data subject or his/her legally designated representative at the time of the request for informed consent for participation in the clinical trial.

CTR impone dos requisitos:Uso para fines exclusivamente científicos al margen del protocolo del ensayo clínico. El sujeto de ensayo, o su representante legalmente designado, podrá retirar en cualquier momento ese consentimiento.

● El EDPB considera aplicable el principio de “uso para finalidad compatible”. (…) the controller could be able, under certain conditions, to further process the data without the need for a new legal basis.

Respetando los límites del Art. 28.2 CTR Uso para fines exclusivamente científicos al margen del protocolo del ensayo clínico. El sujeto de ensayo, o su representante legalmente designado, podrá retirar en cualquier momento ese consentimiento.

These conditions, due to their horizontal and complex nature, will require specific attention and guidance from the EDPB in the future. For the time being, the presumption of compatibility, subject to the conditions set forth in Article 89, should not be excluded, in all

circumstances, for the secondary use of clinical trial data outside the clinical trial protocol for other scientific purposes. Siempre es possible:

Pedir el consentimiento en el ensayo para usos secundarios (Art. 28(2) CTR).

Usos secundarios fuera del ensayo

GR CIAS• ricard.martinez@uv.es ;

•@ricardmm; @catedramuv1