I. Introducción: una demanda oportuna y una sentencia novedosa
El pasado 9 agosto, la Corte Suprema de Chile dictó una sentencia que puede suponer un paso muy importante para protección de los neuroderechos, dado que pone de manifiesto la incertidumbre que rodea al mercado de las neurotecnologías. Creo que es importante poner atención en esta sentencia, no tanto por lo que resuelve, sino porque se enfrenta a un problema nuevo y abre debates que conviene aprovechar para no llegar demasiado tarde.
La sentencia resuelve una «acción constitucional de protección», interpuesta inicialmente ante la Corte de Apelación, que la desestimó, por lo que el demandante optó por recurrirla ante la Corte Suprema. Cabe indicar que esta acción no equivale exactamente a un recurso de amparo, como el previsto ante nuestro Tribunal Constitucional español ya que en Chile se interpone ante la jurisdicción ordinaria, pidiendo, en un procedimiento breve, la «inmediata» restitución del derecho constitucional que se entiende vulnerado y se resuelve en muy poco tiempo. Es una especie de protección «cautelar» y por eso se exige que la vulneración sea «patente», clara.
La demanda fue interpuesta por Guido Girardi Lavín (senador chileno impulsor de la Ley N.o 21.383, que modifica la Carta Fundamental, para establecer el desarrollo científico y tecnológico al servicio de las personas) en contra de la empresa Emotiv Inc., en razón de la venta y comercialización en Chile del dispositivo «Insight» denunciando que no protege adecuadamente la privacidad de sus usuarios, en particular sus neurodatos.
Tal y como describe la propia empresa en su página web, este dispositivo (una diadema con sensores que recaban información sobre la actividad cerebral) se puede utilizar para que el usuario obtenga todo tipo de métricas de rendimiento (estrés, compromiso, interés, relajación, enfoque y emoción), bandas de frecuencia, expresiones faciales y datos de movimiento. Podemos encuadrarlo, por tanto, dentro de la categoría de neurotecnologías no invasivas que registran la actividad cerebral. Es decir, se trata de un dispositivo no invasivo que se limita a registrar la actividad del cerebro, pero que no actúa, en principio, sobre el mismo.
La categorización del dispositivo es muy importante para poder valorar los riesgos asociados al mismo. Mientras que para aquellos dispositivos que modifican o alteran la actividad del cerebro, las prevenciones, a todos los niveles, deben ser máximas, para los dispositivos como el de este caso, el foco ha de centrarse, fundamentalmente, en que sean seguros a nivel de privacidad. Que los neurodatos que registre estén plenamente protegidos.
El demandante centró su petición en los riesgos asociados a la privacidad de sus datos, y en definitiva a sus derechos de protección de datos: consentimiento, acceso y supresión. En concreto, sus peticiones eran:
- 1.- Que la empresa modifique sus políticas de privacidad en lo concerniente a la protección de los datos cerebrales de sus usuarios en Chile.
- 2.- Que, la empresa se abstenga de vender el dispositivo Insight en Chile mientras no modifique sus políticas de privacidad en lo concerniente a la protección de los datos cerebrales.
- 3.- Que la empresa recurrida elimine inmediatamente de su base de datos la información cerebral del actor.
- 4.- Que adopten todas las demás medidas que se estimen necesarias para restablecer el imperio del derecho, con costas.
Por su parte, la demandada, argumentó, en resumen, que no es un dispositivo médico, que no requería autorización de las autoridades sanitarias para ser comercializado, que hubo consentimiento para el tratamiento de los datos, que el demandante sólo señala riesgos hipotéticos y que no sólo cumple con la normativa chilena sino que además se rige por el Reglamento General de Protección de datos (LA LEY 6637/2016) (supongo que porque, en definitiva, están comercializándolo también en Europa).
La Corte, en su sentencia, acoge el recurso de protección para el solo efecto de que el Instituto de Salud Pública y la autoridad aduanera evalúen los antecedentes en uso de sus facultades, disponiendo lo que en derecho corresponda, a efectos que la comercialización y uso del dispositivo Insight y el manejo de datos que de él se obtengan se ajuste estrictamente a la normativa aplicable en la especie y reseñada en esta sentencia. Ello, sin perjuicio que la recurrida deberá eliminar sin más trámite toda la información que se hubiera almacenado en su nube o portales, en relación con el uso del dispositivo por parte del recurrente.
Con todo, el concepto de privacidad en este ámbito debe concebirse no sólo en clave individual, sino colectiva. Ello es así porque la acumulación y el tráfico de neurodatos, incluso anonimizados, constituye un material nuevo de enorme importancia en términos globales. De un lado, desde el punto de vista de las oportunidades: posibilidad de mejora y maximización del rendimiento cerebral, así como de prevención y curación de enfermedades; de otro lado, desde el punto de vista de los riesgos: información útil para elaboración de estrategias de manipulación, perfilados, influencia, control personal, predicción de comportamientos, creación de adicciones.
Los retos están en la aparición de una nueva vulnerabilidad para el ser humano derivada de un uso incontrolado de la información cerebral masiva que puede obtenerse
Me refiero, claro está, a riesgos derivados del uso que se dé a la información recabada de los neurodatos. Esta perspectiva ya nos da idea de dónde están los retos: los retos están en la aparición de una nueva vulnerabilidad para el ser humano derivada de un uso incontrolado (no regulado) de la información cerebral masiva que puede obtenerse. Y ello nos obliga a pensar muy cuidadosamente estrategias jurídicas para que ningún usuario ceda sin pleno consentimiento sus neurodatos para fines no claramente especificados, y para que las autoridades tengan medios de vigilar, controlar y regular el big data cerebral, sus usos, y las nuevas neurotecnologías que a su vez pueden provocar. El reto es descomunal, y lo único que no parece admisible es simplemente esperar y verlas venir, resignadamente, con el argumento de que «de momento» no se constante una infracción flagrante, mediante una interpretación restrictiva o literal de las normas vigentes de protección.
Pero hay más. También, como apunta el Comité de Expertos de UK, Regulatory Horizons Counsil, en su informe The regulation of neurotechnology de noviembre de 2022, existen otros riesgos hipotéticos que todavía no han podido ser evaluados como son el impacto de estos dispositivos de registro neuronal en la plasticidad cerebral a través de la neurorretroalimentación y el suministro de energía. Es un campo en el que los científicos aún están trabajando.
Lo cierto es que, volviendo al caso, las peticiones del demandante se limitan a su ámbito de privacidad. Por tanto, la clave en este caso concreto, parece que sería centrarse en si la regulación en esta materia es suficiente. ¿Están suficientemente regulados y protegidos los neurodatos? ¿Está suficientemente protegida la privacidad mental de los usuarios? ¿Cumple la demandada con la normativa de privacidad, adecuadamente entendida, más allá de su letra, según sus principios y sus finalidades?
El alto tribunal chileno no cierra estas cuestiones. No entra a valorar si los derechos de protección de datos del demandado han sido vulnerados o si la demandada debe o no modificar sus políticas de privacidad (salvo la exigencia concreta a la demandada de suprimir los datos recabados al demandante). La Corte opta, directamente, por paralizar de facto la comercialización del dispositivo mientras este no sea evaluado por las autoridades sanitarias, es decir, equipara, al menos temporalmente, el dispositivo a aquellos que lo son con fines terapéuticos, y que están sometidos a mayor control. No dicta ninguna sanción, pues no era su cometido, dado el carácter cautelar del procedimiento elegido: aplica directamente el principio de precaución o cautela y delega en las Autoridades Sanitarias la difícil labor de analizar el dispositivo y sus implicaciones.
Por principio de precaución se entiende generalmente una norma que permite u obliga a los poderes públicos a adoptar medidas de diversa índole frente a la posibilidad, discutida o no enteramente probada a nivel científico, de un riesgo inaceptable para determinados bienes y valores jurídicos (1) .
Aunque los riesgos sean hipotéticos, o mejor, precisamente porque son riesgos desconocidos, el alto tribunal chileno entiende que es necesario extremar la protección, más allá que en los casos en que somos conscientes de los riesgos. Y esto es, precisamente, lo que hace que esta sentencia sea pionera y fundamental para que los neuroderechos encuentren un sitio propio y un régimen legal específico. En efecto, el principio de precaución opera en ámbitos de incertidumbre sobre los riesgos. Cuando los riesgos, graves o leves, son conocidos, la regulación es fácil y ha de limitarse a lo imprescindible para cubrir tales riesgos. Cuando no hay experiencia suficiente como para identificar esos riesgos eventuales, la regulación no puede sino ser preventiva. Esta es la gran aportación de esta sentencia.
II. Cuestiones abiertas
Como hemos dicho, por la naturaleza de la «acción constitucional de protección chilena», la sentencia se limita a constatar la posibilidad de una vulneración de derechos fundamentales, y adopta medidas preventivas, consistentes, particularmente, en la necesidad de una evaluación (por las autoridades sanitarias) del producto y de su política de privacidad como condición para su comercialización en Chile. La cuestión, pues, no está cerrada, y nos brinda la ocasión para reflexionar sobre los diferentes reparos que, intuyo, aprecia la Corte en el producto. Vamos a ello.
1. Sobre el derecho de acceso del usuario
Afirma el demandante que para que el usuario tenga acceso a sus propios neurodatos tiene que suscribir una versión de pago. En la versión gratuita, que es por la que optó el demandante, no se tiene acceso.
En los Términos y Condiciones y/o Política de privacidad del dispositivo, nada se dice al respecto. Si uno hace el amago de comprar el dispositivo a través de la web (yo lo he hecho y doy fe que se puede adquirir desde España, y la propia AEPD, en su nota de del 17 de noviembre de 2022 menciona a EMOTIV), puede comprobar que no se te informa de esa opción que al parecer se abre cuando compras el dispositivo. Aunque nada se diga en la sentencia al respecto, no hay razones para dudar de la palabra del demandante, por lo que considero que las prevenciones que ha tenido la Corte Suprema para su distribución en Chile también serían recomendables para nuestro país, dado que, en caso de esa práctica se utilizase también en su comercialización en Europa, se estaría vulnerando nuestro derecho de acceso protegido en el Reglamento General de protección de datos (RGPD) (LA LEY 6637/2016), aun cuando la demandada afirma que su política de privacidad es acorde al mismo.
Puede entenderse que se configure la elaboración de informes al usuario sobre sus propios datos cerebrales como la prestación de un servicio remunerado, pero desde luego es incompatible con el RGPD la imposibilidad de acceso a los propios datos.
2. Sobre el derecho a otorgar un consentimiento libre, informado y explícito
Por otro lado, se establece que el usuario consiente el uso de los datos cerebrales obtenidos, para fines de investigación (sin especificar cuáles), directamente en los Términos y Condiciones del producto. Es decir, un consentimiento tácito y genérico, sin posibilidad de otorgar o denegar el consentimiento expreso, inequívoco y referido a un tipo de datos u otro, y a unos usos concretos u otros. Esta cuestión es de suma importancia, como veremos.
Pero es que, además, el usuario se compromete a otorgar a EMOTIV a nivel mundial, no exclusivo, totalmente pagado, libre de regalías,Licencia irrevocable y perpetua para:
- (i) usar, reproducir, exhibir, transmitir y preparar trabajos derivados de sus datos de escaneo para propósitos de proporcionarle el Servicio, mientras mantenga su cuenta de usuario del Servicio.
- (ii) distribuir sus datos de escaneo a terceros a quienes Usted autorice dicha distribución, incluyendo terceros que realizan investigaciones y otros estudios o Programas;
- (iii) usar, reproducir, exhibir, transmitir, distribuir, realizar y explotar de otro modo sus datos de escaneo, con el derecho de Otorgar sublicencias, en cualquier formato de medios y a través de cualquier medio canales en los que se agrega con datos de escaneo relacionados con otros Usuarios del servicio de tal manera que Usted no esté personalmente identificado o identificable; y
- (iv) usar, reproducir, exhibir, transmitir, distribuir, realizar y explotar de otro modo sus datos de escaneo para fines científicos.
Es claro que esa licencia irrevocable y perpetua no casa bien con el derecho a retirar el consentimiento para el tratamiento en cualquier momento, que, como bien sabemos, es uno de los derechos más básicos de protección de datos que tiene el usuario.
Además, el punto (iv) resulta bastante vago, al indicar que el usuario acepta (así, sin la posibilidad de consentir expresamente), a todos esos tratamientos de sus neurodatos para «fines científicos». ¿Cuáles son esos fines científicos? El consentimiento ha de ser específico para la investigación concreta. No basta con un consentimiento general: ¡el usuario no sabe de qué investigación se trata, y eso puede ser decisivo para decidir si consiente o no! No es lo mismo que utilicen nuestros datos para investigar la cura de una enfermedad que para adiestrar a los miembros de una empresa de seguridad o desarrollar un sistema de captación de pensamientos o emociones con fines comerciales (2) . Máxime con los neurodatos obtenidos a través de un dispositivo comercializado sin fines médicos. Los neurodatos que registre tampoco pueden ser tratados para tal fin, por lo que la necesidad de información acerca de esas «investigaciones científicas» se hace aún más exigible. No es lo mismo ceder los datos para el bien común que para el enriquecimiento de una empresa o para el afinamiento de técnicas de manipulación.
Pero es que, adicionalmente, no podemos olvidar que, mientras no se incluya y se aclare el concepto de «neurodato» en la ley, el tratamiento de los mismos puede «escapar» a las exigencias que deberían cumplirse para el caso de que estos estuvieran específicamente tipificados como «datos sensibles».
En efecto, aunque para algunos no nos quepa la duda de que estamos ante un tipo de dato especialmente sensible (si no el que más), a día de hoy sigue siendo un concepto escurridizo. Así, en España, en la nota que la propia AEPD publicó el 18 de enero de este año, se afirma que en algunos casos podrían considerarse datos sensibles o muy personales (directrices WP248), puesto que son datos que corresponden a la esfera más íntima de la persona. En la medida en que el tratamiento de los mismos pudiera conllevar información biométrica orientada a la identificación, opiniones políticas, orientación sexual y datos de salud, entre otros, los neurodatos se calificarían entonces como un tratamiento de categorías especiales de datos personales.
Y en este caso ¿quién define si los neurodatos recabados por el dispositivo no terapéutico son o no datos sensibles?
Existe el riesgo de que muchas formas de datos neurológicos sensibles no se encuadren bajo ninguna de las definiciones incluidas en el RGDP y, por lo tanto, no se consideren datos de categoría especial. No en vano, en el informe ya mencionado The regulation of neurotechnology de noviembre de 2022, el Regulatory Horizons Counsil solicita a la Autoridad de control británica (ICO) que aclare, con la publicación de una guía, cómo se aplica el marco de protección de datos a los neurodatos. En particular, solicita: a. Una definición de «neurodatos», aclarando hasta qué punto los datos neuroconductuales deben clasificarse como neurodatos con fines regulatorios; b. Orientación para ayudar a los fabricantes a identificar qué neurodatos se clasificarían como datos personales y, por lo tanto, estarían cubiertos por el RGDP, y también qué neurodatos se clasificarían como datos de salud; c. Un resumen de las expectativas de ICO sobre cómo los responsables y encargados de tratamiento de datos que operan en este espacio aplicarían los principios existentes de RGDP.
Mientras eso no se aclare legalmente, considero que por precaución deberíamos considerarlos como datos de salud, especialmente sensibles. O al menos aplicar los mismos estándares de control y regulatorios. Y su tratamiento requiere, como mínimo, el consentimiento explícito y revocable.
3. ¿Qué dice nuestro ordenamiento sobre el tratamiento de datos de salud para fines científicos?
En el RGPD son muchos los Considerandos (33, 156, 157, 159, 161) en los que se menciona el tratamiento de datos con fines de investigación. De entre ellos destaca el 33, que busca la mayor protección para el afectado por el tratamiento.
«Considerando (33) del RGPD: "Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente,debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científicaque respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tenerla oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida."»
Esta previsión, que en principio parece que acota las posibilidades del tratamiento, ha sido interpretada por el legislador español de un modo especialmente laxo. Así, la LOPDGDD (LA LEY 19303/2018) interpreta del modo más flexible el alcance del consentimiento, a fin de favorecer en lo posible las posibilidades de la investigación. Señala que no será necesario que la persona preste su consentimiento para una investigación concreta, ni siquiera para la realización de investigaciones en una rama muy delimitada, sino que, teniendo en cuenta la interpretación derivada directamente del RGPD, será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación, tal y como ya adelantó la AEPD en su Informe 73677/2018: «no sería preciso, para garantizar el carácter inequívoco y específico del consentimiento, que el mismo fuese prestado para la realización de una investigación concreta; ni siquiera para la realización de investigaciones en una rama muy delimitada, como por ejemplo, un determinado tipo de cáncer, sino que, teniendo en cuenta la interpretación derivada directamente del propio Reglamento, será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación, como por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos».
De acuerdo a lo anterior, la política de privacidad de la empresa demandada debería aclarar, al menos, la rama de investigación para la que se tratarían los datos.
Pero, aunque este régimen puede resultar apropiado para el común de los datos personales, debemos pensar cuidadosamente si lo es también para los neurodatos, es decir, para cualquier dato personal extraído de la actividad cerebral de una persona. Entiendo que, como antes he apuntado, la nueva vulnerabilidad que ello abre para el ser humano, de la que no estamos suficientemente precavidos, aconseja un control más estricto de la calidad del consentimiento, garantizando que sea inequívoco y referido a determinadas investigaciones, usos y aplicaciones perfectamente definidas, sin perjuicio de su ampliación posterior, siempre que se recabe de nuevo el consentimiento expreso o ad hoc.
Creo oportuno añadir además el hecho de que este tipo de dispositivos está pensado para su uso en empresas, es decir, que no será el propio usuario quien lo compre porque quiera autocontrolar su actividad cerebral, sino que es mucho más probable que sea una empresa la que induzca a sus trabajadores a hacerlo dentro algún estudio interno de la misma. De hecho, en los Términos y Condiciones que hay que aceptar al adquirir el dispositivo, se indica expresamente que, en esos casos, la empresa es responsable de obtener el consentimiento de los empleados para, entre otros fines, usar y distribuir los neurodatos de los empleados a la propia empresa o a terceros. La cuestión es si, en la práctica, esos empleados serán realmente conscientes (porque hayan sido plenamente informados) de lo que esto supone.
Third Party Information. The Service may allow You to provide EMOTIV with scan data and other personal and non-personal information of third parties, such as that of Your employees, friends and research or study participants. You represent and warrant to EMOTIV that You have obtained the informed written consent of such third parties to: (i) provide this third party information to EMOTIV; and (ii) allow EMOTIV to use and disclose this third party information to You and others in the same manner as Your information under these Terms of Use. You further represent and warrant to EMOTIV that You provide appropriate safeguards and enforceable rights and effective legal remedies for such third parties who have provided You or EMOTIV with personal information.
En definitiva, podemos pensar que el consentimiento en este caso por sí solo podría no ser suficiente, ya que requiere estar informado sobre qué datos pueden ser registrados con el uso del dispositivo y cómo serán utilizados, y está claro que no parece posible conocer su alcance completamente de antemano. No parece suficiente que baste con hacer click en una pestaña como condición para adquirir un producto, ni cualquier otra fórmula que no asegure que el usuario ha sido plenamente informado de lo que consiente; y de otro lado, las personas podrían arrepentirse de su elección una vez que supieran más sobre las actividades específicas para las que se utilizarán sus neurodatos. Por lo tanto, la vigilancia y supervisión de estos dispositivos debería centrarse en garantizar que la medición, la recopilación, el tratamiento y el análisis de los datos sean fiables y transparentes, garantizando eficazmente (y no sólo formalmente) los derechos de protección de datos, especialmente el derecho del interesado a acceder a la información, tener voz en el proceso (posibilidad de retirar el consentimiento) y el derecho de supresión.
4. Sobre la necesidad o no de un control previo para la comercialización de estos productos
Esta sentencia llega en un momento clave, dado que ningún Estado se ha atrevido todavía a regular este tipo de neurotecnologías que escapan a los controles de las autoridades sanitarias, a pesar de que son muchas las voces que así lo han pedido. Ya en 2017, en Reino Unido, en el POSTNOTE n.o 614 «Brain-Computer Interfaces», del Parlamento, se planteaban las dudas sobre si este tipo de tecnologías no invasivas que quedan fuera del ámbito terapéutico, deberían estar sometidas a un mayor control.
Por su parte, la Asociación Médica Americana (AMA) defendía en un artículo de 2021 (3) que la regulación de este tipo de dispositivos no debe ser supervisada por la FDA (la Administración de Alimentos y Medicamentos de los Estados Unidos) por no estar capacitada para evaluarlos. Considera que un nuevo comité u organismo regulador con objetivos humanistas, incluidas las preocupaciones tanto de los individuos como de la sociedad, debe legislarse a nivel federal para ayudar a regular la naturaleza, el alcance y el uso de estos dispositivos.
No parece que haya una solución fácil. Sólo hay que ver el informe de la OCDE «Brain-computer interfaces and the governance system: Upstream approaches» (4) , donde se habla de la necesidad de esta regulación, pero sin arriesgarse a dar posibles soluciones al asunto.
La preocupación por una posible ralentización de la innovación y/o el rechazo del mercado al «exceso» regulatorio, así como una falta de conocimiento y/o conciencia sobre la envergadura de los posibles riesgos hacen que todavía no se den los pasos suficientes para la regulación de este tipo de dispositivos. Su implantación en el mercado y las posibles consecuencias que pueden generarse si se extiende su uso, deberían ser un acicate suficiente para su regulación. De momento, este tipo de dispositivos sólo estarían bajo el régimen común de la protección de datos y bajo las normativas que regulan los derechos de los consumidores, que no son suficientes, puesto que el uso de este tipo de productos conlleva unos riesgos que no están contemplados en esas leyes. Es claro que existe un «hueco regulatorio», consistente en la noción misma de neurodato.
Sin embargo, de nuevo, podemos fijarnos en la propuesta concreta sobre cómo deberían regularse estas tecnologías, que plantea el Regulatory Horizons Counsil, en el informe Neurotechnology Regulation. Opinan que mientras que todos los dispositivos de modulación cerebral (invasivos y no invasivos) deben regularse bajo el marco de dispositivos médicos, independientemente del propósito para el que se comercialicen, puesto que los riesgos son los mismos en ambos casos, para los dispositivos que sólo registran los datos cerebrales (como es el caso), los riesgos se circunscriben fundamentalmente a la privacidad del usuario, por lo que es posible defender la necesidad de una regulación, más exigente que la actual para los productos, sin llegar a serlo tanto como para aquellos con fines médicos. Dejan, así, a este tipo de dispositivos fuera del ámbito de control de los dispositivos médicos.
En el cuadro explicativo que publica el Comité para la regulación que debe afectar a los diferentes tipos de neurotecnologías, deja en blanco aquellas que considera que deben quedar fuera del ámbito de protección de la regulación sobre los productos sanitarios. Llama la atención que precisamente ponga como ejemplo los dispositivos de la demandada.
Sin embargo, se insiste en que este tipo de dispositivos deberían cumplir la normativa general sobre protección de los consumidores, seguridad de los productos, privacidad y normativa sectorial, en función de sus casos de uso. Y afirma que, el proyecto de ley de seguridad de productos e infraestructura de telecomunicaciones (PTSI), no garantiza la seguridad de los usuarios de este tipo de tecnologías, puesto que las disposiciones del proyecto de ley se han redactado teniendo en cuenta dispositivos menos riesgosos (como teléfonos inteligentes, rastreadores de actividad física conectados, electrodomésticos y cámaras), mientras que el impacto de las violaciones de seguridad en el caso de las aplicaciones de neurotecnología puede ser mayor, dado su acceso directo a las actividades del cerebro. Por lo tanto, afirma que puede ser necesaria en el futuro una regulación específica del producto que exija requisitos de seguridad adicionales a los considerados en el proyecto de ley PSTI y que se adapte a las preocupaciones específicas planteadas por las neurotecnologías no médicas.
Es decir, la ley británica estaría desfasada de antemano.
Por su parte, la Corte Chilena ha optado porque sean las Autoridades Sanitarias las que evalúen este dispositivo. Ahora toca esperar a ver el alcance de la respuesta que éstas den. No parece una tarea fácil.
La Autoridad Sanitaria chilena va a tener que hacer un análisis sobre la naturaleza y el alcance de los riesgos de ciberseguridad del dispositivo. Las posibles vulnerabilidades que pueden comprometer la seguridad del usuario, la confidencialidad de sus neurodatos o la disponibilidad del servicio. En definitiva, analizar si el dispositivo es seguro por diseño y que esté preparado, particularmente, para evitar las violaciones de seguridad que podrían resultar en un acceso ilegítimo a la información neuronal del usuario.
Del mismo modo, la Autoridad Sanitaria se va a ver obligada a valorar si la información que ha suministrado la empresa demandada es coherente con la realidad de su dispositivo, es decir, que no incluye mensajes falsos o engañosos (sobre el dispositivo o sus efectos), así como la omisión de información importante para engañar al consumidor. Aclarar, en definitiva, lo que podría considerarse una afirmación engañosa en el contexto de los usos de este tipo de neurotecnologías.
Y por supuesto, la Autoridad Sanitaria va a tener que valorar si la privacidad mental del usuario de este dispositivo está suficientemente garantizada.
Las recomendaciones que el Regulatory Horizons Counsil hace respecto a este tipo de dispositivos, pueden servir de guía a las Autoridades Sanitarias chilenas (o a quien estas se dirijan), para hacerse una idea del alcance que debería tener su respuesta a la tarea que le ha encomendado la Corte Suprema:
- • Considerar la creación de una nueva categoría especial para los neurodatos para garantizar que su procesamiento esté limitado en virtud del Artículo 9 del GDPR (LA LEY 6637/2016) (en su caso, con garantías equivalentes a las exigidas en la norma europea).
- • Evaluar si las protecciones existentes son proporcionales a los riesgos planteados por diferentes tipos de neurodatos.
- • Velar porque las normas de comercio dispongan de las competencias y los recursos adecuados para vigilar proactivamente el mercado.
- • Estudiar el impacto de los dispositivos de registro neuronal en la plasticidad cerebral a través de la neurorretroalimentación y el suministro de energía.
- • Determinar si se necesita una regulación específica del producto que exija requisitos de ciberseguridad adicionales.
- • Garantizar que los datos recogidos por los dispositivos de registro que se comercializan como no médicos no se utilicen con fines médicos. En caso afirmativo, esto debe reflejarse en la finalidad prevista del dispositivo, que debería clasificarse como producto sanitario.
Teniendo en cuenta, además, que todas estas cuestiones deben supervisarse y estudiarse a medida que se desarrolle el mercado y se conozcan mejor los casos de uso no médico y sus riesgos asociados.
La comercialización de cualquier producto o servicio novedoso es un incentivo para la innovación, puesto que permite rentabilizar las inversiones
Como se ve, hay más incertidumbres que certezas. La comercialización de cualquier producto o servicio novedoso es un incentivo para la innovación, puesto que permite rentabilizar las inversiones. No hay duda de la necesidad de fomentar la innovación en neurotecnologías, por los grandes beneficios que pueden esperarse de ellas, en términos no sólo de salud, sino también de eficiencia, de optimización de esfuerzos, de rendimiento, etc. Pero la innovación debe desarrollarse en entornos regulatorios de confianza. La confianza la suministra la experiencia, que va generando certezas; pero mientras estas no llegan, la sospecha de graves riesgos (individuales, sociales, y para la especie humana) obliga a tomarse en serio, también en la interpretación jurídica, el principio de precaución.
III. Conclusiones
La constitucionalización de los neuroderechos en Chile abrió la posibilidad de acudir a la «acción constitucional de protección» frente a la comercialización de un dispositivo que los ponía en riesgo. La sentencia pone de manifiesto que la falta de regulación concreta expone a los usuarios a riesgos no controlados, lo que justifica un especial rigor en la aplicación del derecho vigente, y, por otro lado, a una reflexión sobre las necesidades modificaciones del mismo.
En materia de neurodatos, además de riesgos para la privacidad, se pone de manifiesto una «nueva» vulnerabilidad del ser humano hasta ahora inexplorada: el conocimiento y posterior control de la actividad cerebral, con fines no exclusivamente ceñidos a la salud. La respuesta no puede ser otra que una regulación expresa de los neurodatos, como categoría de datos personales sensibles, a nivel de ley orgánica, que permitirá la defensa y el desarrollo de los neuroderechos. En Europa el RGPD debe ser modificado en ese sentido.
Entre tanto llega esta nueva regulación, el principio de precaución justifica equiparar, interpretativamente, los neurodatos a los datos de salud en todo caso, y aplicarles su régimen. Por el hecho de ser neurodatos, han de tener una protección reforzada, en lo que se refiere a: control previo para la comercialización del producto; exigencia de un consentimiento expreso (y desde luego revocable); accesibilidad por el usuario a todos sus neurodatos; garantía de anonimización, en su caso; y limitaciones en la transferencia de los datos obtenidos.
Así, la sentencia de la Corte Chilena ha llegado en el momento oportuno. Va a generar los debates necesarios, por un lado, sobre la urgencia de regular claramente los neurodatos y, por otro, sobre la necesidad de una regulación suficiente para este tipo de dispositivos que vaya de la mano de la autoridad u órgano que deberá supervisar proactivamente el mercado e intervenir, cuando sea necesario, para evitar daños a los consumidores.
Es la hora de defender y empezar a proteger los neuroderechos, y para ello lo mejor es comenzar por la base, y no por el tejado: previo a entrar en disquisiciones sobre la definición y alcance de los derechos, hay que poner «nombre propio» a algo que aún no lo tiene en la legislación: los neurodatos.