Retos para la investigación biomédica con datos. Reflexiones a propósito del XXX Congreso de la SED.

El reciente XXX Congreso Nacional de la Sociedad Española de Diabetes en el año 2019 fue una magnífica oportunidad para interactuar con los investigadores y profesionales de la salud en España. La sesión dedicada a “BIG DATA Y DIABETES” constituyo una extraordinaria oportunidad de aprender de dos extraordinarios profesionales e investigadores, -Daniel Prieto-Alhambra y Josep Franch Nadal-, y a la vez percibir la existencia de una inadecuada relación con la protección de datos. Algo habremos hecho rematadamente mal los profesionales de la privacidad cuando la normativa se percibe como un obstáculo para la investigación en España, a veces insalvable.

Permítame pues el lector tres veleidades: 1) que esta reflexión parta de la autocrítica; 2) que les hable poco o nada sobre la regulación del derecho fundamental a la protección de datos; 3) que me centre en otras materias que a mi juicio son en realidad las relevantes.

¿Cómo hemos sido capaces de hacerlo tan rematadamente mal?

A lo largo de los años una interpretación literal del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y un constante intervencionismo regulador, bloqueó por completo la investigación en salud. En este enfoque se distinguían varios factores relevantes que operaban como correlativos frenos:

▪ El estrecho margen de juego que ofrecía el doble límite o exigencia de ley+consentimiento.

▪ La interpretación absolutamente restrictiva del principio de finalidad que impedía por completo el uso de los datos en contextos amplios e interdisciplinares y la reutilización de los datos personales.

▪ Una postura defensiva de los reguladores que ponía el derecho fundamental a la protección de datos en el centro sin considerar otros bienes constitucionales relevantes. Así por ejemplo, vivimos en un país en el que parece más importante la privacidad de un conductor que notificar a la DGT que no debería conducir por razones de salud.

▪ Una constante generación de alarma social ante cualquier noticia relacionada con los datos personales desde peligrosos proyectos que supondrán vender nuestros datos a malévolas aseguradoras a políticos manipuladores que quieren controlar nuestras mentes.

▪ Una aproximación epidérmica de los equipos jurídicos, muy lejanos al entendimiento real de la práctica clínica y la investigadora, y más preocupados por las repercusiones jurídicas que por la búsqueda de soluciones funcionales.

Créame el lector, cuando apoyando a investigadores hemos cumplido la normativa la participación en los proyectos de pacientes se ha multiplicado exponencialmente. Las presiones regulatorias nos han encaminado hacía la anonimización y la seudonimización, en lugar de a generar un inmenso mar de datos “donados”. ¿Es que hay alguna razón en el país de los donantes de órganos y sangre para pensar que no íbamos a tener éxito con el consentimiento?

Y la postura del regulador en el Proyecto de nueva LOPD, como así fue subrayado en sede parlamentaria por quien esto escribe, fue diferir dos años, -hasta 2021-, la futura regulación publicar una “benévolo informe” en el que donde dije digo ahora digo diego. La investigación con datos, es algo crucial para el futuro del país, no puede dejarse para mañana, ni depender de un informe jurídico. Y les adelanto ya un grave error. En las alegaciones de los investigadores  al Anteproyecto se subrayó el carácter crucial de la “investigación con datos”. Reducir la Disposición Adicional XXVII de la Ley Orgánica 3/2018, de Protección de Datos Personales a la investigación biomédica obligará a una interpretación finalista cuando se crucen datos de salud por ejemplo con datos sociodemográficos.

Aun así, el Reglamento General de Protección de Datos y la propia Disposición introducida en el trámite de enmiendas mejoran considerablemente las condiciones para la investigación.

¿Por qué no hablar sobre la regulación a los investigadores?

De modo regular y reiterado confundimos cuál deba ser el objetivo cuando compartimos esta materia en un congreso o jornada. El grado de complejidad de la investigación con datos, y en particular la biomédica, obliga a generar equipos interdisciplinares. Hemos de formar a los investigadores y hemos de hacerlo con rigor en una estrategia formativa multinivel. Pero, ni la formación debe servir para incrementar el nivel de estrés, ni para convertir al investigador en experto. Las cuestiones jurídicas obligan a una análisis de profundidad tanto desde la ética jurídica como de los requerimientos de cumplimiento normativo. Por ello, las organizaciones deben asegurar el soporte jurídico, y el soporte de un experto que, permítanme decirlo, debería ser capaz de cazar ratones, de ayudar en lugar de poner pegas.

¿Y entonces que es lo realmente relevante?

Lo estratégico a mi juicio el cambio organizativo en esta materia es realmente el verdadero reto en tres niveles que han identificado con precisión las agencias de prensa.

Diseñar nuestra investigación contemplando el principio de protección de datos desde el diseño y por defecto.

La protección de datos desde el diseño y por defecto opera de modo crucial en el ámbito de la investigación. Un buen diseño no sólo ayuda a saltar el escollo de la norma, define condiciones de tratamiento de los datos personales que aseguran la calidad y confiablidad de los procesos, dimensiona la seguridad, mejorando las condiciones generales de la investigación.

Integrar en nuestra acción garantías complementarias.

Es necesario ir más allá del consentimiento informado y las políticas de privacidad. Hemos de integrar estrategias relacionadas con la selección de los datos teniendo en cuenta las necesidades, fines y objetivos de la investigación, y definiendo de modo proporcional los registros objeto de tratamiento tanto en cuanto a su naturaleza, como a su cualidad y volumen. Es fundamental verificar las condiciones de anonimización, codificación y seudonimización de los datos. Será indispensable implementar medidas de seguridad y realizar en su caso una evaluación de impacto relativa a la protección de datos… La lista de garantías adicionales no es mucho más extensa, y, en todo caso, contribuye a definir procedimientos funcionales no sólo al cumplimiento normativo sino también a la calidad en la investigación.

Realizar una buena comunicación orientada a un buen control del riesgo reputacional.

Aunque pueda parecer que el individuo no presta atención a su privacidad es capaz de reconocerla en cuanto existe un problema. Y la salud atañe a aspectos esenciales para la intimidad, la orientación sexual, o la vida privada. Por ello, definir una buena comunicación centrada en la relevancia en la investigación y soportada por un cumplimiento normativo adecuado constituye un pilar fundamental para evitar el riesgo reputacional.

Desgraciadamente, el soporte disponible para conseguir estos objetivos es escaso en nuestras organizaciones y debemos considerar la cuestión como un coste añadido. Al menos hasta que se incorpore a la estructura de las entidades que investigan con una adecuada dotación de recursos económicos y humanos que deberían entenderlo como sin duda como una inversión.