Los datos personales de salud se han convertido en un bien codiciado por compañías tecnológicas, farmacéuticas, aseguradoras, consultoras y también por una serie de startups que han visto la oportunidad de actuar como intermediarios para explotar su valor económico sin infringir las leyes de protección de datos personales. El reto y promesa está en mantener el control de esta información en manos del paciente o usuario, el verdadero propietario de esos datos. ¿Es esto posible?
Richie Etwaru, CEO y fundador de Hu-manity.co, trabaja ya en hacer realidad este mercado de compraventa de datos médicos. Su propuesta es sencilla y revolucionaria: el usuario, según afirma, es el único propietario de sus datos y, en consecuencia, tiene derecho a controlar y ser pagado por el uso de su propia información.
Se trata, en definitiva, de posibilitar al ciudadano la venta de su información médica a un laboratorio, por ejemplo, con el objetivo específico de utilizarla en un ensayo clínico de un medicamento. El objetivo de esta empresa intermediaria, según el propio Etwaru expone en una conferencia TED, es que el ciudadano obtenga un retorno del uso de unos datos que son de su propiedad y pueda restringir el uso de la información hasta donde quiera y evitar así que se venda a un tercero o data broker. La tecnología basada en el sistema de blockchain lo haría posible al permitir controlar y disponer de la información de forma segura.
"El paciente tendría derecho a ser remunerado cuando se ceden sus datos a terceros con ánimo de lucro"
Javier Pujol Montero, socio director de Puyol-Abogados, reconoce que se trata de una cuestión "revolucionaria" y opina que, a diferencia de las historias clínicas cuya propiedad sí puede considerarse compartida, "los datos asistenciales son propiedad del paciente". En consecuencia, sostiene que "sí tendría derecho a ser remunerado cuando se ceden sus datos a terceros con ánimo de lucro". "Sería algo parecido al derecho a la protección de la intimidad o a la disposición de la propia imagen cuando es objeto de comercialización", añade este experto jurista muy vinculado al mundo de la ciberseguridad.
Hasta ahora, aunque la información referente a la salud de una persona está protegida legalmente y prohibido el tratamiento de datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física o los datos relativos a la salud, entre otros, si no existe un consentimiento explícito de los usuarios, el propio Reglamento de Protección de Datos de 2016 ofrece una salida que se estaría aprovechando para comercializar con paquetes de datos anonimizados.
¿Debería preocuparnos? Latanya Sweeney, profesora de Harvard y directora del Data Privacy Lab de la universidad estadounidense, ya demostró que sí. Esta experta en computación fue capaz de asociar los códigos postales, fechas de nacimiento y el género de un listado de censo electoral con los datos médicos públicos disponibles, que incluían altas hospitalarias y datos sobre costes de visitas hospitalarias. Y lo hizo con tecnología de hace 20 años. Por lo tanto, pensar que ahora no es posible esa trazabilidad, con las actuales herramientas de minería de datos, es una ingenuidad.
De 200 euros a 360 euros
Compañías como Iqvia o Cinven en EEUU ya compran y venden, de forma legal, registros de datos anonimizados procedentes de historias médicas, farmacológicas, análisis de sangre y registros de seguros que contienen información sobre la edad, género o nombre del médico o bien de los buscadores y páginas web de salud, amparados en la Ley de Responsabilidad y Portabilidad del Seguro de Salud. Otras empresas, como CleverTap o AppsFlyer, también actuarían como data brokers vendiendo a las empresas datos anonimizados de los usuarios.
La tecnología blockchain añadiría más control en estas transacciones al permitir registrarlas y almacenarlas en una red de ordenadores separados físicamente pero, al mismo tiempo, conectados entre sí en red para evitar que la privacidad de la información resulte dañada. "Se trataría de una plataforma descentralizada, donde la información no se almacena en una única fuente, sino que se distribuye en distintas bases de datos repartidas en bloques de acceso dentro de una arquitectura que permite a cada usuario validar y notificar en tiempo real cualquier cambio o acceso a sus datos", explica Simón Roses, experto en ciberseguridad y fundador de la empresa Vulnex.
Otra incógnita que debe despejarse es el precio de los datos clínicos. Richie Etwaru admite que no se ha valorado todavía este mercado, pero calcula que el coste de un paquete de datos médicos del paciente podría oscilar entre 200 euros y 360 euros. El papel de su compañía sería el de actuar como intermediario y facilitador de este mercado, con una participación del 25% del precio de venta.
