¿Crear confianza o confusión? That is the question OjoAlDato
Boris Johnson ese señor que parece que le han pegado un balonazo en la cara antes de hacerle la foto.
Bien, pues Don Balón la ha vuelto a liar.
Puedes escuchar el audio del programa aquí, a partir del minuto 1:06:15.
Puedes escuchar aquí todos los audios de OjoAlDato.
La semana pasada, NHS Digital, el consorcio que gestiona los sistemas informáticos del servicio de salud nacional británico, anunció el plan de consolidar los historiales médicos de los 55 millones de pacientes británicos registrados en medicina general en una única base de datos que estaría a disposición de las entidades integrantes del consorcio (académicas pero también privadas) para fines de investigación y planificación.
Y tú me dirás. Pero esto es algo bueno. Y sí, la idea es buena.
¿Y se puede hacer sin consentimiento? Sí. Porque la idea es “buena”.
En su cabeza era espectacular
El problema es cómo se está haciendo la movida. Vamos a verlo, por si a alguien se le ocurre la ideaca de hacer por aquí lo mismo que han hecho en el Reino Unido. Y no hablo de hacer un Brexit. Esa otra gran idea.
Hablamos de datos muy sensibles: salud física, mental, sexual, antecedentes penales, abortos, consumo de alcohol y estupefacientes, los medicamentos prescritos, los resultados de pruebas…
Este material vale una fortuna para el sector privado. Recordemos aquí lo que dije cuando Google compró Fitbit para acceder a un montón de datos de salud convencionales (ritmo cardiaco, kilómetros recorridos, regularidad del ejercicio, etc…) de donde puedes inferir los importantes de verdad.
En este caso estamos hablando de los datos de verdad (no inferidos o deducidos de otros datos o estadísticos) totales (todos los datos de una persona real) y longitudinales (a lo largo de toda su vida).
Los datos serán seudonimizados, no anonimizados. Ojo que es distinto. No existe el totalmente anonimizado, porque un tercero con acceso a esta nueva base y con acceso a otras bases preexistentes sí puede llegar a reidentificar a los pacientes.
¿Cómo se debe montar un proyecto así?
Haciendo público el proyecto y generando confianza alrededor del mismo, de modo que la gente decida libre e informadamente participar en él. O si se opone o no se opone.
El proyecto requeriría un montón de información al público sobre qué se pretende, por qué es buena idea, quien participará, qué podrán y no podrán hacer, qué garantías se implementarán, qué pasará si alguien hace lo que no debe… Y a partir de ahí, sería preferible un consentimiento activo a un derecho de oposición.
Pero no se ha hecho nada de esto.
Sencillo, ¿verdad?. Esquema de @privacymatters
Es la confianza, estúpido!
Veamos:
- La mayor parte de los británicos se está enterando del proyecto, no por la publicidad institucional que uno hubiera esperado, sino por la polémica generada por los médicos y los activistas de la privacidad.
- El plazo para oponerse es muy corto, hasta el 23 de junio. (El mismo día que hablé de esto, después de diez de cacerolada activista, el Gobierno anunción la ampliaciónd el plazo hasta el 1 de septiembre. Bien. Pero el resto de los problemas que aquí se mencionan siguen intactos).
- La competencia para gestionar el proyecto se ha dado a los médicos de familia
- Se ofrece un derecho de oposición muy confuso (de hecho se ofrecen dos: una oposición a la cesión de datos y oposición a la propia centralización de datos, esta última vale por dos).
- Es más fácil darse de baja de Amazon Prime (esto es un chiste) que encontrar el formulario para ejercer el segundo derecho de oposición, el que vale por dos. Vean este esquema gráfico de @privacyMatters de los siete pasos necesarios para llegar a puerto.
- Y mi trampa favorita: se ha dado un nombre al proyecto («General Practice Data for Planning and Research (GPDPR)”) cuyas siglas coinciden con el Reglamento General de Protección de Datos “RGPDP” tras el Brexit. Por ello, oponerte a este proyecto es oponerte al RGPD, norma que goza de muy buena fama en el Reino Unido.
Por comparar es como si a un proyecto como este en España se le llamara, no sé, “TAPEO”. ¿Ejercería su derecho de oposición contra el tapeo?. Pues eso.
Llueve sobre mojado
Adicionalmente:
En el Reino Unido ya existe una vía de compartición de datos médicos regulada y segura “trusted research environment” para estudiar datos e investigar contra el covid. ¿por qué no se utiliza esta?.
Este mismo proyecto y de la misma forma subrepticia, ya se intentó montar hace ocho años, como recordarán los más viejos del lugar (el Proyecto de centralización “care.data”, y no salió adelante por la oposición y campaña montada por los médicos de familia y los activistas de la privacidad.
Ahora se repite la jugada con menos publicidad, menos plazo, en mitad de una pandemia y adjudicando la gestión de las oposiciones al colectivo más colapsado de la sociedad británica.
Boris ya la lió bien liada con el algoritmo con el que se pretendió sustituir el examen de selectividad (que no se celebró durante el confinamiento del 2020), que metía en la batidora la nota media, el centro publico o privado del estudiante, las notas medias de sus compañeros, el número de estudiantes en la clase.
Insisto: el tema era tan flagrante que el Gobierno británico ha reculado en plazo: falta ver qué pasa con tooooodo lo demás.
Muy buena semana.
Jorge García Herrero
Abogado y Delegado de Protección de Datos