Requisitos de protección de datos para iniciar proyectos de investigación con datos de salud

Tribuna

Requisitos de protección de datos para iniciar proyectos de investigación con datos de salud

2025/01/21

Orduña Galán, Antonio J.

Se describen los requisitos aplicables a los proyectos de investigación con datos masivos de salud con mención a los que incluyen IA. Se subraya la importancia de la DA 17.ª, toca la seudonimización, la separación funcional de equipos y las medidas de seguridad para impedir la reidentificación. También menciona la necesidad de elaborar evaluaciones de impacto y análisis de riesgos. Además, aborda las formas de legitimación y bases legales para tratar datos protegidos, aclarando cómo el consentimiento no es la única opción si existen otras justificaciones normativas. Destaca la diferencia entre el consentimiento informado para el uso de datos y el consentimiento clínico, regulado por la Ley 41/2002. Respecto a proyectos de IA, se indica que la normativa europea exime la mera investigación en entornos controlados, pero aplica a pruebas reales o productos finales, exigiendo cumplir la normativa y evitar actividades prohibidas. Por último, se recomiendan anexos en los protocolos que incluyan compromisos de confidencialidad, evaluación de impacto y planes de gestión de datos.

Antonio J. Orduña Galán

Ingeniero de aplicaciones y sistemas, responsable del área de seguridad de los sistemas de información y protección de datos personales del Departamento de Salud Valencia - Hospital la Fe

Vocal del comité de evaluación de investigaciones médicas del Hospital la Fe

La actividad investigadora es un vehículo fundamental para alcanzar los mejores resultados en el tratamiento de los problemas de salud a los que se enfrentan los profesionales sanitarios en los hospitales del sistema nacional de salud. En estas líneas, quiero acercar a la práctica los aspectos legales que deben afrontar los estudios de calidad y los proyectos de investigación que requieran analizar grandes volúmenes de datos de salud o desarrollen o apliquen algoritmos de inteligencia artificial.

Empiezo con algunas referencias legales que aplican a la investigación con datos de salud. En España, la disposición adicional decimoséptima de la Ley Orgánica 3/2018 de Protección de Datos (LA LEY 19303/2018) abre la puerta al uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica, requiriendo la existencia de equipos separados, al menos uno para la extracción y anonimización de la información de salud y otro que realiza la investigación. Esta disposición habla también del compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación innecesaria, y de la obligación de adoptar medidas de seguridad específicas para evitar esta reidentificación o el acceso de terceros no autorizados.

también hace referencia a los riesgos para la intimidad de las personas, cuando dice que en estos casos se realizará una evaluación de impacto que determine los riesgos derivados del tratamiento en los supuestos previstos en el artículo 35 del Reglamento 2016/679 (LA LEY 6637/2016) Europeo de Protección de Datos, debiendo incluir específicamente los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos. Este análisis de riesgos también es mandatorio según el artículo 5 del Real Decreto 957/2020 (LA LEY 22859/2020), por el que se regulan los estudios observacionales con medicamentos de uso humano.

Otros aspectos a tener en cuenta por los equipos investigadores son los relativos al consentimiento y las demás formas de legitimación para la investigación con datos personales. El Reglamento Europeo permite fundamentar el uso de este tipo de datos en bases distintas al consentimiento, como se recoge en sus artículos 6 y 9. El artículo 9 prohíbe expresamente el tratamiento de datos especialmente protegidos, como son los de salud, pero exceptúa la prohibición en varios casos, siendo excepciones para los datos de salud el consentimiento explícito, el interés público esencial o en el ámbito de la salud pública, el archivo por interés público, la investigación o los fines estadísticos. Si superamos la prohibición impuesta en el artículo 9, podemos encontrar en el artículo 6 una base de legitimación, además de por el consentimiento, en un contrato entre las partes, en la obligación legal, en la protección de intereses vitales, en el cumplimiento de una misión de interés público o el ejercicio de poderes públicos, o si el responsable del tratamiento, no siendo una autoridad pública, por ejemplo, un promotor de la industria, hubiera de satisfacer intereses legítimos. Cuestión que también trata el citado artículo 5 del Real Decreto 957/2020 (LA LEY 22859/2020) de estudios observacionales. Lo dicho hasta ahora no exime de la obligación de informar a los sujetos afectados.

Cosa distinta al consentimiento para el tratamiento de datos personales es el consentimiento informado sobre los procedimientos clínicos aplicados a los sujetos de la investigación. La Ley 41/2002 (LA LEY 1580/2002), Básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, dice que toda actuación en el ámbito de la sanidad requiere, con carácter general, el previo consentimiento de los pacientes o usuarios, abarcando las actuaciones con fines preventivos, diagnósticos, terapéuticos, rehabilitadores o de investigación. Aunque el citado artículo 5 del Real Decreto de estudios observacionales indica que se podría eximir la solicitud del consentimiento informado, si el Comité de Ética que lo evalúa considera que la investigación entraña riesgos mínimos para el sujeto y tiene un valor social importante o que su realización no sería factible sin dicha dispensa.

Sumamos otra variable a la fórmula para obtener la valoración positiva de un proyecto: en el desarrollo de productos sanitarios y otros proyectos con algoritmos de inteligencia artificial, los equipos investigadores deben tener en cuenta el reciente reglamento europeo que la regula. Según su artículo 2.8, no se aplica a los sistemas destinados exclusivamente a la investigación y desarrollo científico, pero sí aplicaría a las pruebas en condiciones reales, o al producto comercial derivado del proyecto. Por tanto, el equipo investigador deberá determinar si el producto realiza pruebas fuera del laboratorio o entorno de simulación y, en caso afirmativo, debe asegurar que el producto no realizará ninguna de las actividades prohibidas del capítulo II y determinar si es un producto de alto riesgo, en cuyo caso asegurar el cumplimiento de los principios y medidas del capítulo III secciones 2 y 3.

Quiero acabar recomendando a los equipos investigadores, con objeto de facilitar la tarea de los comités evaluadores de proyectos de investigación, la inclusión en sus protocolos de estos anexos:

1. Compromiso de cumplimiento de la regulación de protección de datos.
2. Información sobre la actividad de tratamiento: Nombre y datos de contactos, finalidad, base legal para el tratamiento, categorías de interesados, categorías de datos personales, categorías de destinatarios de comunicación, si habrá transferencias internacionales y las garantías adecuadas, plazos de supresión previstos y medidas de seguridad de la plataforma de datos.
3. Evaluación de impacto en la protección de datos que incluirá las operaciones y los fines del tratamiento; la evaluación de la necesidad y la proporcionalidad; la evaluación de los riesgos para los derechos y libertades de los interesados y las medidas previstas para afrontar los riesgos existentes.
4. Compromiso de cumplimiento del Reglamento de Inteligencia Artificial.
5. Plan de gestión de datos, que incluya los procesos aplicados en todo el ciclo de vida del dato, con referencia expresa al origen de los datos, al método de anonimización, y a la separación funcional entre la extracción y anonimización y el equipo de investigación y, si es el caso, especificar el funcionamiento y la clasificación del producto de IA que se utiliza o desarrolla.

Volver a página de inicio

Volver a página de inicio