Anonimizar los 'big data', reto al que la norma no responde

Expertos apuntan la dificultad de categorizar información de 'wearables' y anonimizar grandes volúmenes de datos.

Rosalía Sierra. Zaragoza | rsierra@diariomedico.com | 25/03/2015 17:10

Xesús Pérez López, Concepción Sánchez Montero, Aitor Moreno Fernández, Jesús Gago Centeno e Iñaki Pariente de Prada, en la celebración del foro de seguridad y protección de datos de la SEIS. (Xavi Buil)

VISTA:

Los datos relativos a la salud gozan del más alto nivel de protección en cuanto a su privacidad en la legislación sobre seguridad de la información. El problema viene cuando el avance tecnológico borra las fronteras hasta ahora establecidas: el auge de los dispositivos llevables (wearables), que monitorizan en tiempo real distintos parámetros de la actividad física y el estado de la persona pide a gritos nuevas definiciones. "Parte de los problemas jurídicos que nos encontramos en el diseño de nuevos proyectos tecnológicos deriva de la categorización de la información recogida: los contornos que separan los datos de salud de los datos personales son imprecisos", explicó Xesús Pérez López, jurista y profesor de la Universidad Rey Juan Carlos, de Madrid, durante el XII Foro de Seguridad y Protección de Datos de Salud de la Sociedad Española de Informática de la Salud (SEIS), que ha concluido hoy en Zaragoza.

"Los sistemas que recogen datos de salud suelen reunir otro tipo de información, como la relativa a la geolocalización. No se puede establecer una categoría que sea la simple suma de un tipo de datos y otros, porque el resultado es más complejo, es una información multiforme", ha afirmado.

Un ejemplo de este tipo de información lo presentó Concepción Sánchez Montero, representante para España de Fitbit, un wearable que monitoriza la actividad física y el descanso de los individuos: "Algunas empresas, siempre con el consentimiento de los empleados, acceden a parte de los registros de sus profesionales -no a los de horas de sueño, por ejemplo- de cara a los reconocimientos médicos y a la conveniencia o no de motivarles para incrementar su actividad física".

Al no tratarse de un dispositivo médico, un equipo de esta clase no necesita aprobación de las autoridades sanitarias ni restricciones especiales en el manejo de la información recogida; paradójicamente, herramientas similares como las utilizadas en programas de teleasistencia -detectores de caídas, por ejemplo- sí "precisan no sólo que se le explique muy bien al paciente qué tipo de información se va a recoger, sino también un consentimiento informado sobre cómo y para qué se van a utilizar los datos", según describió Aitor Moreno, de I3B Instituto Ibermática de Innovación.

Anonimización
Estos conflictos entroncan con otro avance tecnológico que está dejando obsoletas las actuales normas de protección de datos: el big data. "Los juristas estamos bastante perplejos ante este fenómeno", reconoció Pérez López, a cuyo juicio "no estamos haciendo lo suficiente: lo que entendemos por protección de datos no basta para hacer frente al gran cambio tecnológico".

Y es que una de las obligaciones principales del manejo de datos sanitarios es su anonimización irreversible, pero parece que sirve para ensayos controlados, no para el manejo de grandes volúmenes de información: según los expertos, bastan tres datos de un individuo para averiguar su identidad. Por ello, Pérez López considera que "aún queda un gran camino técnico por recorrer".

O no. Según Iñaki Pariente, director de la Agencia Vasca de Protección de Datos, "para manejar datos sanitarios con una finalidad no asistencial es preciso disociarlos. Pero si la tecnología sigue avanzando a este ritmo, la única solución sería cambiar la ley".