En diciembre de 2019 salió a la luz la noticia de que el Servicio Nacional de Salud del Reino Unido (National Health Service o NHS) había vendido a la industria farmacéutica internacional, en particular de Estados Unidos, los datos de salud de millones de pacientes. Los datos fueron anonimizados, pero a saber si fue así.
La Dra. Raine, directora ejecutiva de la Agencia Reguladora de Medicamentos y Productos Sanitarios (MHRA) argumentó que «la venta de datos bajo licencia a organizaciones comerciales, así como a organismos de investigación como universidades, era totalmente compatible con los requisitos éticos, de gobernanza de la información, legales y regulatorios». Recordemos que, por entonces, en el Reino Unido era de aplicación el RGPD y que la venta de datos de salud no tiene encaje.
La cuestión es que la organización gubernamental que emite las licencias para investigación clínica en el Reino Unido –Clinical Practice Research Datalink o CPRD– ingresó más de 10 millones de libras por la venta de datos en 2019.
La ambición de las grandes compañías norteamericanas, con el apoyo del Gobierno federal de Trump, por acceder al mercado de salud del Reino Unido fue motivo de debate en la campaña electoral de 2019 con el líder del Partido Laborista, Jeremy Corbyn, acusando al Partido Conservador de prepararse para dar entrada a las empresas estadounidenses en el NHS tras el Brexit.
Jeremy Corbyn sacó a la luz un documento confidencial del gobierno británico, de 451 páginas, donde constaban hasta seis rondas de conversaciones con funcionarios de la Administración Trump desde julio de 2017. El documento hablaba de que, tras el Brexit, el «libre flujo de datos» era una «prioridad máxima» para Estados Unidos.
La respuesta de Boris Johnson –entonces Primer Ministro– fue: «Puedo darles una garantía irrebatible de que esto es una completa distracción porque el NHS bajo ninguna circunstancia estará en la mesa de negociación para su venta». La credibilidad de Boris Johnson está a ras de suelo (en 2023 un comité de legisladores concluyó que Boris Johnson engañó deliberadamente al Parlamento sobre sus fiestas durante el confinamiento ordenado durante la pandemia, lo que provocó su salida precipitada del número 10 de Downing Street).
Care.data
Desde 1989, el NHS recopila datos sobre estancias hospitalarias, lo que se conoce como estadísticas de episodios hospitalarios (HES).
En 2013, el NHS anunció el programa «Care.data» cuyo objetivo era centralizar, en una base de datos, las consultas e intervenciones en los médicos de cabecera del Reino Unido. A los pacientes registrados en consultorios de médicos de cabecera se les informó que los datos sobre su salud se cargarían en dicha base de datos, a menos que ejercieran su derecho de oposición. El folleto informativo enviado a los pacientes no incluía un formulario de exclusión voluntaria.
Los datos incluidos en la base de datos de Care.data serían utilizados por investigadores, instituciones académicas, gestores de atención sanitaria y organizaciones comerciales. Los datos personales se presume que eran anonimizados.
El programa Care.data se interrumpió varias veces a causa de los problemas de confidencialidad y las denuncias de grupos como British Medical Association, Big Brother Watch y Association of Medical Research Charities. Al final, el programa se limitó a un ensayo a pequeña escala hasta que en julio de 2016 se abandonó definitivamente.
En mayo de 2021, NHS anunció el nuevo programa —NHS Digital— que sigue en vigor, a pesar de las críticas por la falta de transparencia.
DeepMind
En el año 2015, el consorcio Royal Free London NHS Foundation Trust vendió los datos de salud de 1,6 millones de pacientes a DeepMind, una filial de Google centrada en el desarrollo de la inteligencia artificial. Aparte de no informar a los afectados, DeepMind cedió los datos personales a Google, para lo cual no tenía autorización. Al año siguiente, la autoridad de control dictaminó que el consorcio había vulnerado la normativa de protección de datos, pues los pacientes afectados no fueron informados ni dieron su consentimiento. El tema no quedo ahí, pues Google y su filial fueron demandadas, estando a la espera de resolución.
Conclusión
Nadie duda de que la investigación científica es indispensable para avanzar en el cuidado de la salud pública, pero la cesión de datos personales tan sensibles, como los de salud, requiere que el paciente esté convenientemente informado y de su consentimiento. Imagino que a nadie le agradará que sus datos de salud se cedan alegremente.
El RGPD dispone en su artículo 21 apartado 6 que «cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público». Justamente, en la salvedad es donde radica el peligro, aunque se adopten medidas de seguridad y se establezcan excepciones al tratamiento por los Estados miembros.
Según un informe de BIS Research, el mercado mundial de los macrodatos en el ámbito de la salud alcanzará en 2025 un valor de 70.000 millones de dólares. Un pastel demasiado goloso. A más de uno le compensará pagar una multa e incumplir la normativa de protección de datos.