Salud, datos personales, y diseño de procedimientos.

El caso de la concertación de la realización de pruebas clínicas del Hospital de Fuenlabrada con la Clínica el Madroño pone de manifiesto cómo diseñar un proceso sin pensar en la privacidad puede convertir en un problema grave algo que de lo contrario carecería de importancia. Por otra parte, muestra hasta qué punto ha crecido la sensibilidad social respecto del derecho fundamental a la protección de datos personales.

No hay duda de que muchos de los receptores de llamadas de la clínica ofertando sus servicios no se habrán planteado nada excepto si les interesaban o no. Sin embargo, otros han realizado una lectura muy distinta. Primero se han planteado en virtud de qué posee sus datos un tercero ajeno a la Sanidad Pública y con el cual carecían de relación previa. Formulada esta pregunta la alarma social está servida y el usuario entra en una espiral de recelo y desconfianza. La consecuencia es muy simple, en lugar de pensar que se le ofrece un servicio de valor añadido que aligera su espera, se sospecha que una entidad no autorizada accede a sus datos de salud para obtener un lucro económico.

La alarma resulta como mínimo razonable. La identificación de una persona en relación con una prueba diagnóstica incluido el nombre del facultativo que la ordena revela datos de salud. Se trata de información que afecta a nuestra intimidad y de algún modo nos hace vulnerables. Por ello, no resulta extraño que ante un tratamiento de esta naturaleza nos podamos sentir agredidos e invadidos en nuestra esfera más privada. Además, en el contexto de las tecnologías de la información los usos potencialmente discriminatorios de estos datos constituyen un riesgo adicional. ¿Encontraré trabajo, o me concederán un crédito si saben que estoy enfermo de…?

Precisamente por ello, en el sistema del Consejo de Europa, y en el ámbito nacional, estos datos han gozado de una especial protección hasta el punto de que para poder tratarlos se requiere consentimiento expreso o una autorización en una norma con rango de ley. Sin embargo, el sistema sanitario no sólo necesita tratar ingentes cantidades de datos, requiere perentoriamente poder compartirlos. La historia clínica única digital o la receta electrónica imponen un flujo constante de datos en tiempo real. Puede que llegue un día en que gran parte de la medicina parta de patrones predictivos obtenidos mediante procedimientos de big data colectivos, pero también individuales. Steve Jobs presentó una tasa de supervivencia al cáncer por encima de la media, al parecer gracias a una secuenciación constante del genoma del mismo que le permitía atacar las variaciones genéticas afinando la diana terapéutica. Es posible que los pacientes crónicos puedan entrar un día por la puerta de urgencias y su tarjeta sanitaria o su teléfono móvil mediante radiofrecuencia puedan generar una alerta automática, transmitir información vital básica, asignar preferencias y cargar su historia clínica.

¿Y si esto es así para qué tanta alarma? Todos estos procesos requieren un diseño previo basado en la privacidad, que minimice los impactos, evalúe los riesgos, defina los perfiles funcionales y los permisos de quienes acceden a nuestros datos proporcionando seguridad y confianza. En el caso de la clínica madrileña hubiera bastado primero con formalizar la relación jurídica mediante un contrato de acceso a datos por cuenta de terceros que hubiera diseñado un proceso respetuoso con la regulación en materia de protección de datos. Ello hubiera permitido dimensionar el tipo de datos a los que acceder y los usos concretos de los mismos. Por otra parte, con un poco de imaginación adicional se habría informado previamente al personal facultativo y establecido un protocolo de información al usuario. Probablemente si la llamada de la clínica hubiera comenzado transmitiendo una información básica sobre el origen de los datos, la finalidad para la que se iban a usar transmitiendo confianza, Vd. no estaría leyendo este breve artículo.