The Observer reveló en 2019 que el Servicio Nacional de Salud del Reino Unido (National Health Service o NHS) había vendido datos de salud de millones de pacientes a la industria farmacéutica internacional, en particular de Estados Unidos. Los datos estaban anonimizados (a saber si fue así).
La Dra. Raine, directora ejecutiva de la Agencia Reguladora de Medicamentos y Productos Sanitarios (MHRA) argumentó que «la venta de datos bajo licencia a organizaciones comerciales, así como a organismos de investigación como universidades, era totalmente compatible con los requisitos éticos, de gobernanza de la información, legales y regulatorios». Recordemos que, por entonces, en el Reino Unido era de aplicación el RGPD y que la venta de datos de salud es controvertida.
La cuestión es que la organización gubernamental que emite las licencias para investigación clínica en el Reino Unido –Clinical Practice Research Datalink (CPRD)– ingresó más de 10 millones de libras por la venta de datos en 2019.
La ambición de las grandes compañías norteamericanas, con el apoyo del Gobierno federal de Trump, por acceder al mercado de salud del Reino Unido fue motivo de debate en la campaña electoral de 2019 con el líder del Partido Laborista, Jeremy Corbyn, acusando al Partido Conservador de prepararse para dar entrada a las empresas estadounidenses en el NHS tras el Brexit.
Jeremy Corbyn sacó a la luz un documento confidencial del gobierno británico, de 451 páginas, donde constaban hasta seis rondas de conversaciones con funcionarios de la Administración Trump desde julio de 2017. El documento hablaba de que, tras el Brexit, el «libre flujo de datos» era una «prioridad máxima» para Estados Unidos.
La respuesta de Boris Johnson –entonces Primer Ministro– fue: «Puedo darles una garantía irrebatible de que esto es una completa distracción porque el NHS bajo ninguna circunstancia estará en la mesa de negociación para su venta». Esta promesa parece que se ha mantenido en el tiempo, pero ha tensionado los precios de los medicamentos.
Care.data
Desde 1989, el NHS recopila datos sobre estancias hospitalarias, lo que se conoce como estadísticas de episodios hospitalarios (HES).
En 2013, el NHS anunció el programa «Care.data» cuyo objetivo era centralizar, en una base de datos, las consultas e intervenciones en los médicos de cabecera del Reino Unido. A los pacientes registrados en consultorios de médicos de cabecera se les informó que los datos sobre su salud se cargarían en dicha base de datos, a menos que ejercieran su derecho de oposición. El folleto informativo enviado a los pacientes no incluía un formulario de exclusión voluntaria y la falta de transparencia sobre usos comerciales era evidente.
Los datos (sincluidos en la base de datos de Care.data serían utilizados por investigadores, instituciones académicas, gestores de atención sanitaria y organizaciones comerciales. Los datos personales se presume que eran anonimizados.
El programa se interrumpió varias veces a causa de los problemas de confidencialidad y las denuncias de grupos como British Medical Association, Big Brother Watch y Association of Medical Research Charities. Al final, se limitó a un ensayo a pequeña escala hasta que en julio de 2016 se abandonó definitivamente.
En mayo de 2021, NHS anunció el nuevo programa –NHS Digital– que sigue en vigor, a pesar de las críticas por la falta de transparencia.
DeepMind
En 2015, el consorcio Royal Free London NHS Foundation Trust vendió los datos de salud de 1,6 millones de pacientes a DeepMind (entonces filial de Google, ahora integrada en Google Health) para desarrollar la app Streams (destinada a alertar de forma temprana sobre casos de lesión renal aguda).
El acuerdo iba más allá de lo anunciado inicialmente: DeepMind accedió a un volumen masivo de datos (incluyendo diagnósticos, resultados de pruebas, historiales y datos sensibles) para fines que no se limitaban estrictamente a la detección de lesión renal aguda. Esto generó acusaciones de falta de transparencia y base legal adecuada.
En 2017, la Information Commissioner’s Office (ICO), la autoridad de protección de datos del Reino Unido, dictaminó que el consorcio había incumplido la Data Protection Act 1998 (vigente en ese momento) en ocho aspectos clave: falta de transparencia, ausencia de base legal para procesar datos sensibles sin consentimiento y deficiencias en la evaluación de impacto en la privacidad. No se impuso multa económica (por ser un organismo público), pero se exigieron cambios inmediatos, como mayores salvaguardas, auditorías independientes y un comité de revisión ética. Además, se implementó un proceso de notificación retrospectiva a los pacientes y se reforzaron los controles de acceso.
En 2021, Google confirmó la discontinuación definitiva de Streams: el acuerdo con el consorcio terminó en marzo de 2021 y se eliminaron todos los datos procesados por Google Health. Quiero pensar que así fue.
En el ámbito judicial, en 2022 se inició una demanda colectiva contra Google y DeepMind por presunto mal uso de datos privados (caso Prismall vs. Google). La demanda buscaba una compensación económica para los 1,6 millones de afectados. La demanda fue desestimada tanto en instancia como en apelación. En palabras del juez: «No puede decirse que todos los miembros de la clase en su conjunto tengan una reclamación viable. Del mismo modo, apartarse de la hipótesis del mínimo común denominador y tener en cuenta factores individualizados a efectos de demostrar que existe una expectativa razonable de intimidad en situaciones particulares significaría que no se cumple la prueba del «mismo interés». En cualquier caso, la demanda está abocada al fracaso« (apartado 169).
Conclusión
El RGPD dispone en su artículo 21 apartado 6 que «cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público». Justamente, en la salvedad es donde radica el riesgo.
Nadie duda de que la investigación científica es indispensable para avanzar en el cuidado de la salud pública, pero la cesión de datos personales tan sensibles como los de salud requiere que el paciente esté debidamente informado, que exista una base legal y salvaguardas como la anonimización de los datos.
El mercado mundial de los macrodatos en el ámbito de la salud alcanzará en 2025 un valor de 70.000 millones de dólares. Un pastel demasiado goloso. A más de uno le compensará pagar una multa e incumplir la normativa de protección de datos.
