Reutilización de datos de pacientes en investigación científica para entrenar sistemas de IA – consideraciones importantes de GDPR
En la fase de descubrimiento de la investigación científica, los sistemas de IA pueden ser utilizados para revisar patentes e identificar posibles nuevos medicamentos para ensayos clínicos. Si una organización desarrolla su propio sistema de IA internamente sin usar datos de pacientes, la IA Act no debería aplicarse, ya que estaría bajo la exención de investigación. De manera similar, el GDPR no es relevante en tales casos, ya que no se procesan datos personales.
No obstante, cuando se utilizan datos de pacientes para entrenar un sistema de IA, el GDPR se vuelve aplicable. Los datos de pacientes pueden ser obtenidos de diversas fuentes, incluidos registros de salud recopilados por instituciones como el NHS, registros voluntarios donde los pacientes consienten compartir sus datos para investigación, o datos obtenidos de ensayos clínicos previos. Sin embargo, estos conjuntos de datos fueron originalmente recopilados para propósitos específicos, lo que requiere una evaluación para determinar si pueden ser reutilizados para entrenar modelos de IA.
Evaluación de compatibilidad para el uso secundario de datos de pacientes
El GDPR incluye un principio de limitación de propósito, que establece que los datos personales deben ser recopilados para un propósito específico, explícito y legítimo, y no deben ser procesados posteriormente de manera incompatible con ese propósito. Si se desea reutilizar los datos para un propósito diferente, se requiere una evaluación de compatibilidad. Varios factores influyen en esta evaluación:
- Vínculo entre los propósitos inicial y secundario: cuanto más estrecha sea la conexión, más probable es que se considere compatible.
- El contexto y las expectativas razonables de los sujetos de datos: si los sujetos de datos fueron informados en el momento de la recopilación sobre posibles usos secundarios, la reutilización es más probable que esté justificada.
- La naturaleza de los datos: cuanto más sensibles sean los datos personales (como los datos de salud), más estrecho será el margen para la compatibilidad.
- Consecuencias para los sujetos de datos: se deben evaluar tanto las consecuencias positivas como las negativas.
- Existencia de salvaguardias adecuadas: se deben considerar medidas como la encriptación, pseudonimización, transparencia y opciones de exclusión.
El principio de limitación de propósito tiene como objetivo mantener el control de los individuos sobre sus datos y prevenir la reutilización no autorizada. Si el uso secundario se alinea con expectativas razonables, es más probable que se considere compatible. Es importante destacar que la investigación científica generalmente se considera un uso secundario compatible, siempre que se implementen salvaguardias adecuadas.
Investigación científica y cumplimiento del GDPR
El GDPR no define explícitamente ‘investigación científica’, pero el Recital 159 sugiere una interpretación amplia, abarcando el desarrollo tecnológico, la investigación fundamental y aplicada, así como estudios financiados de manera privada o pública. La European Data Protection Board (EDPB) aconseja que la investigación científica debe adherirse a estándares éticos y metodológicos establecidos. Tanto la fase de descubrimiento como la investigación clínica normalmente siguen métodos o protocolos estrictos, por lo que deberían calificar como investigación científica.
Aunque el EDPB planeaba emitir orientación en 2021 sobre la definición de investigación científica y sobre las salvaguardias adecuadas a adoptar, esto aún no se ha materializado. Dada esta incertidumbre, es aconsejable no asumir automáticamente la compatibilidad, sino realizar una evaluación de compatibilidad exhaustiva.
Resultados de la evaluación de compatibilidad
Si el uso secundario es incompatible con la recopilación inicial, los datos no pueden ser reutilizados para el propósito secundario, a menos que dicho procesamiento pueda basarse en el consentimiento del sujeto de datos o en una ley de la Unión o del Estado miembro que salvaguarde objetivos importantes de interés general (por ejemplo, salud pública).
Si el uso secundario es compatible con la recopilación inicial, se puede confiar en la base legal sobre la que se basó la recopilación inicial de datos. Sin embargo, todos los demás principios de protección de datos aún deben ser respetados para el procesamiento adicional, incluyendo la información a los sujetos de datos sobre el procesamiento adicional y sobre los derechos de los sujetos de datos, así como realizar una evaluación de impacto del procesamiento de datos si es necesario. La evaluación de compatibilidad y las medidas adoptadas deben ser documentadas para cumplir con el principio de responsabilidad.
Excepciones bajo el Artículo 9 del GDPR para el procesamiento de datos de salud
Aún cuando un uso secundario se considere compatible, se requiere una excepción adicional bajo el Artículo 9 del GDPR para el procesamiento de datos de salud. Las excepciones potenciales incluyen:
- Consentimiento explícito (art. 9(2)(a)).
- Razones de interés público en el área de salud pública basadas en la ley de la Unión o del Estado miembro (art. 9(2)(i)).
- Investigación científica basada en la ley de la Unión o del Estado miembro y adopción de salvaguardias adecuadas (art. 9(2)(j)).
Conclusión
Utilizar datos de pacientes para el desarrollo o entrenamiento de sistemas de IA utilizados en investigación científica requiere una cuidadosa consideración regulatoria. Cuando se involucran datos de pacientes, el cumplimiento del GDPR se vuelve crucial, y las organizaciones deben evaluar la compatibilidad del uso secundario de datos además de los demás principios y obligaciones del GDPR.
