Ingeniería de protección de datos personales en espacios de datos de la UE: principios y casos de uso en el ámbito farmacéutico

Tal y como establece la Comisión Europea de Protección de Datos, los datos están remodelando la forma en que producimos, consumimos y vivimos.

Cada día tenemos a nuestra disposición más datos, ya sea para su acceso, ya sea para su reutilización. No obstante, que los tengamos a disposición, no significa que esas acciones no deban encuadrarse en un entorno fiable y seguro para las empresas y los ciudadanos de la Unión Europea (en adelante, UE).

Precisamente, en febrero de 2020, la estrategia europea de datos ofreció el camino para la creación de espacios que permitieran que todos los datos de la UE se pusieran a disposición y se intercambiaran de una manera segura. En concreto, con esta iniciativa de la creación de Espacios Comunes Europeos de Datos se pretende crear un auténtico mercado único de datos (abierto a datos de todo el mundo) en el que los datos personales y no personales, incluidos los datos empresariales sensibles, estén seguros y las empresas tengan fácil acceso a datos industriales de alta calidad, impulsando el crecimiento y creando valor en distintos ámbitos, como el de la salud, finanzas, energía, medios de comunicación o agricultura, entre otros. Juntos, los espacios de datos se interconectarán gradualmente para formar el mercado único de datos.

Con carácter general, los Espacios Europeos Comunes de Datos, concepto que también ha sido desarrollado por la Ley de Gobernanza de Datos (en adelante, DGA), tienen las siguientes características clave:  

1. Están abiertos a la participación de todas las organizaciones e individuos.
2. Tienen una infraestructura segura y de preservación de la privacidad para agrupar, acceder, compartir, procesar y usar datos.
3. Son una estructura clara y práctica para acceder y utilizar los datos. El espacio común europeo de datos dispone de normas de acceso justas, transparentes, proporcionadas y no discriminatorias, gracias a mecanismos de gobernanza de datos bien definidos y fiables.
4. Respetan las normas y valores de la UE, especialmente los datos personales, la protección de los consumidores y el Derecho de la competencia.
5. Permiten a los titulares de datos conceder acceso o compartir ciertos datos personales o no personales.
6. Facultan a los titulares de datos para que pongan sus datos a disposición para su reutilización de forma gratuita o con una compensación.

Pues bien, el 26 de enero de 2024, la Agencia de la Unión Europea para la Ciberseguridad (en adelante, ENISA), ha publicado un Informe sobre ingeniería de protección de datos personales en espacios de la UE que intenta proporcionar un contexto a los fundamentales principios de diseño relativos a la protección de datos personales y demostrar cómo diseñar esa protección a través de dos casos de uso de un espacio de datos de la UE en el ámbito farmacéutico.

Antes de entrar a analizar los dos casos de uso en el ámbito farmacéutico, hay que tener en cuenta que un Espacio de Datos de la UE, tal como se define en la DGA, consta de tres actores principales:

1. Titular de datos, quees una persona jurídica, que, sin ser un interesado tiene derecho a conceder acceso o a compartir determinados datos personales o datos no personales. En el contexto de la DGA y el Reglamento General de Protección de Datos (en adelante, RGPD), el titular de los datos es responsable de garantizar la recogida, el tratamiento y el almacenamiento lícitos y adecuados de los datos.
2. Intermediario de datos, quees una entidad que actúa como intermediario entre los titulares de datos y los usuarios de datos. El intermediario de datos desempeña un papel fundamental a la hora de facilitar el intercambio seguro y controlado de datos mediante la prestación de servicios tales como el acceso a los datos. De hecho, la operación de tratamiento depende de cómo se realice el intercambio y de cuál sea el rol real del intermediario de datos. Pese a esto, aún su papel y sus obligaciones están por afinar y evidenciar en la práctica.
3. El usuario de datos, quees una persona física o jurídica que tiene acceso legal a determinados datos personales o no personales y tiene derecho a utilizar los datos obtenidos del intermediario con fines comerciales o no comerciales. El usuario de los datos recibe y utiliza los datos para diversos fines, como el análisis, la investigación u otros intereses legítimos.

En esencia, la DGA y el RGPD crean un marco en el que los titulares de datos, los intermediarios y los usuarios trabajan juntos para garantizar el intercambio, el tratamiento y el uso responsable y conforme de los datos. Estos deben alinear sus prácticas con los principios y obligaciones descritos en las legislaciones que protegen los derechos y la privacidad de las personas, al tiempo que fomenten la innovación y las iniciativas impulsadas por los datos.

No obstante, antes de iniciar un proceso de puesta en comúnde datos,se deben considerar los posibles riesgos que puedan surgir durante el tratamiento para los interesados.Según este Informe de la ENISA, se tienen que tener en cuenta los riesgos de entrada y de salida de la privacidad. La forma de hacer frente a estos dos riesgos consiste en desplegar los elementos básicos de la ingeniería de protección de datos, respetando al mismo tiempo los principios del RGPD para que se garantice la protección de los datos personales desde el momento en el que se recogen hasta que se comparten los resultados de los datos.

Una vez que el responsable del tratamiento de datos ha identificado los riesgos potenciales de la actividad de tratamiento de datos prevista, se plantea la cuestión de cómo mitigar esos riesgos identificados. Los métodos estándar de mitigación de riesgos abarcan desde la aplicación de tecnologías de mejora de la privacidad hasta la decisión de dividir las actividades de tratamiento entre múltiples actores separados,lo que puede comportar técnicas de seudominización o, incluso, de anonimización. La tarea de implementar la aplicación de la seudonimización o de anonimización podría corresponder al intermediario de datos. En este sentido, sería posible que el intermediario entregara el conjunto de datos completo, no seudominizado, a otro procesador de datos que, a su vez, realizara la seudominización, pero este diseño introduciría en realidad un nuevo vector de riesgos que no mitigaría idealmente el riesgo de divulgación de los datos en cuestión. En el mejor de los casos, el conjunto de datos se seudonimizaría por el propio intermediario de datos (o en los lugares de almacenamiento de datos). Sin embargo, este planteamiento exigiría que los responsables del tratamiento que consulten los conjuntos de datos al intermediario le indiquen exactamente cómo llevar a cabo el sistema específico de seudonimización. Por tanto, el responsable del tratamiento de datos deberá aplicar y coordinar esta decisión, en estrecha colaboración con el intermediario que tendrá que ser capaz de realizar dichas tareas, es decir, de disponer de implementaciones listas para desplegar estas técnicas.

Por otro lado, hay que tener en cuenta que el responsable del tratamiento es el responsable del cumplimiento de los principios establecidos en el artículo 5.1. del RGPD y debe poder demostrarlo. En este sentido, y basándonos en las disposiciones de la DGA sobre los Espacios de Datos de la UE, los principales elementos para lograr esta responsabilidad o rendición de cuentas son, entre otros: la gobernanza interna y externa eficaz del intercambio de datos personales, la identificación clara de las responsabilidades y obligaciones de los titulares y de los usuarios de los datos, el diseño de herramientas específicas de rendición de cuentas sobre la puesta en común de datos o la transparencia para el ciudadano. Igualmente, los titulares de los datos y los usuarios asumen, igualmente, obligaciones de rendición de cuentas que pueden abordarse mediante la aplicación de los elementos básicos antes mencionados.

Entrando ya a analizar los dos casos que se plantean en el Informe de la ENISA, hay que destacar con carácter previo que, en la actualidad, la legislación farmacéutica de la UE ha permitido la autorización de medicamentos seguros, eficaces y de alta calidad. Sin embargo, también existe un problema creciente de escasez de medicamentos para muchos países de la UE. Por eso, surgió la Estrategia Farmacéutica de la UE, cuyo objetivo es garantizar la disponibilidad, accesibilidad, asequibilidad y sostenibilidad de los medicamentos para los ciudadanos de la UE.

En concreto, los dos casos prácticos que se presentan en este informe son:

CASO DE USO 1 – DISPONIBILIDAD DE PRODUCTOS FARMACÉUTICOS EN EL MERCADO

Una de las utilidades previstas para el espacio de datos farmacéuticos es garantizar la disponibilidad de los productos farmacéuticos en el mercado.

En este ámbito existen tres tipos principales de titulares de datos: el sistema nacional de receta electrónica, las empresas farmacéuticas y los proveedores de asistencia sanitaria. Cada uno de ellos dispone de una información y datos distintos que comparte con el intermediario de datos. Sin embargo, cada titular de los datos almacena datos que son considerados como adicionales. En este sentido, sólo los datos enumerados a continuación se consideran necesarios para la prestación del servicio al usuario de datos:

• El proveedor nacional de recetas electrónicas que comparte información con el intermediario relacionada con las recetas farmacéuticas sobre los datos de número de la Seguridad Social, fecha de nacimiento, sexo, código postal, medicación prescrita, dosis, síntomas, fecha y duración de la prescripción.
• Las empresas farmacéuticas que comparten información sobre cada medicamento, su descripción y la cantidad disponible que distribuyen en el mercado.
• Los proveedores de asistencia sanitaria que comparten información sobre la medicación que se utiliza para las afecciones médicas diagnosticadas y los posibles efectos no deseados de los diferentes medicamentos.

En lo que respecta a las tecnologías a emplear, hay que poner de relieve que uno de los objetivos es que el intermediario pueda responder a las solicitudes del usuario de los datos (que es la Autoridad reguladora Nacional), sin poder identificar o individualizar a las personas. Para alcanzar este objetivo, los titulares de los datos deberán aplicar técnicas específicas de ingeniería de protección de datos de enmascaramiento cuando compartan los datos de la siguiente manera:

• El proveedor nacional de recetas electrónicas crea un identificador para cada registro que va a compartir sustituyendo campos específicos por un seudónimo generado de forma determinada, basado en una clave “k” que sólo conoce el titular de los datos. La misma “k” se aplica a todos los registros. Podría ser, por ejemplo, una función hash con clave (por ejemplo, un Código de Autenticación de Mensaje – MAC). De hecho, en el escenario actual, el número de la Seguridad Social (SSN) puede utilizarse como identificador.
• El conjunto de datos compartidos por el proveedor de recetas no puede considerarse totalmente seudonimizado, ya que no se han abordado todos los riesgos para la protección de datos. Siguen existiendo riesgos de reidentificación debido a los denominados cuasi-identificadores, por lo que deben ser enmascarados adecuadamente por el titular de los datos. A este respecto, existen técnicas como la generalización de atributos. En el caso de uso planteado, tales cuasi-identificadores (y sus posibles generalizaciones) son los siguientes:
• Fecha de nacimiento: se sustituye por un rango de edades (por ejemplo, 50-55)
• Código postal: se sustituye por los tres primeros caracteres del código postal.
• Fecha de prescripción: se sustituye únicamente por el mes y el año en lugar de la fecha completa.
• Las empresas farmacéuticas y los proveedores de asistencia sanitaria no comparten datos personales y, por tanto, desde el punto de vista de la ingeniería de protección de datos, no es necesario el enmascaramiento.

Por tanto, el primer caso de uso plasmado en el Informe de la ENISA prevé un escenario de intercambio de datos en el que el enmascaramiento y la generalización corren a cargo de los titulares de los mismos antes de compartir los conjuntos de datos con el intermediario. Más concretamente, es esencial establecer un mecanismo que garantice que los distintos titulares de datos apliquen la generalización al mismo nivel; por ejemplo, si un titular de datos elige un campo generalizado 45-50 para la edad, no debería haber otro titular de datos que elija un campo generalizado diferente como, por ejemplo, 40-50. Por lo tanto, parece que esta naturaleza distribuida de los titulares de los datos plantea algunas limitaciones, ya que es necesario que acuerden conjuntamente algunos parámetros.

CASO DE USO 2 – INVESTIGACIÓN Y ANÁLISIS DE LA EFICACIA DE LOS PRODUCTOS FARMACÉUTICOS

Otra posible utilización del espacio de datos farmacéuticos es el destinado a apoyar la investigación y análisis sobre la eficiencia de los productos farmacéuticos. En este supuesto, sólo existen dos tipos de titulares de datos con información tasada que cada uno comparte con el intermediario de datos. Al igual que en el caso anteriormente planteado, también los titulares de los datos almacenan más datos de los necesarios. Sólo los que se presentan a continuación son los que se consideran imprescindibles para la prestación del servicio al usuario de los datos:

• El sistema nacional de prescripción electrónica que comparte información relacionada con las recetas farmacéuticas con los datos de número de la Seguridad Social, fecha de nacimiento, sexo, código postal, medicamento prescrito, dosis, síntomas, fecha y duración de la prescripción.
• Los proveedores sanitarios que comparten información respecto a la medicación que se utiliza para las enfermedades diagnosticadas, los síntomas y los posibles efectos no deseados de los distintos medicamentos. Igualmente, también compartirán los diagnósticos médicos, los resultados de laboratorios y pruebas y la medicación prescrita a los pacientes tratados.

Por lo que respecta a las tecnologías a implementar, también en este caso, como en el anterior, el objetivo es que el intermediario de los datos pueda responder a las solicitudes del usuario de los datos (que son, en este supuesto, las instituciones de investigación), sin poder identificar o individualizar a las personas, pero también, a su vez, que los usuarios de los datos tampoco puedan identificar, individualizar a las personas ni correlacionar los datos. Para alcanzar estos dos objetivos, los titulares de los datos deberán aplicar técnicas específicas de ingeniería de protección de datos mediante enmascaramiento cuando compartan los datos de la siguiente forma:

• El proveedor nacional de recetas electrónicas enmascara partes del conjunto de datos que va a compartir de forma similar al caso de uso anterior. Una vez más, el campo del número de la Seguridad Social (SSN) se sustituye por un seudónimo generado de forma determinada, basado en una clave “k” que sólo conoce el titular de los datos, y los cuasi-identificadores se sustituyen por rangos.
• Por su parte, los proveedores de asistencia sanitaria enmascaran también la parte del número de la Seguridad Social (SNN) del conjunto de datos que se va a compartir con un seudónimo generado de forma determinada, basado en una clave “k” que sólo conoce el titular de los datos.

Dado que el mismo campo será seudonimizado por distintos titulares de datos con una clave diferente, el intermediario de datos no podrá correlacionar los datos recibidos de distintos titulares que hagan referencia al mismo SSN. Asimismo, a cada conjunto de datos se le asignarán seudónimos diferentes para cada usuario de datos, evitando así la vinculación de seudónimos entre varios usuarios de datos. En este caso, el intermediario, actúa como una entidad externa seudominizadora de confianza.

Por tanto, el segundo caso planteado en este Informe prevé un escenario de puesta en común de datos en el que el enmascaramiento y la generalización también son realizados por los titulares de los datos antes de compartir la información con el intermediario de datos. No obstante, se aumentan las responsabilidades y obligaciones del intermediario dado que el enmascaramiento adicional es realizado por el mismo. Esta operación lo que hace es reforzar el papel de los intermediarios como organizadores fiables en lugar de meros intermediarios de la puesta en común de datos, con independencia de que ostenten ya bien la figura de responsable o de encargado del tratamiento. Se deduce, en consecuencia, que el intermediario tiene que ser capaz de hacer frente a las necesidades y derechos de los interesados y los usuarios de datos, llevar un registro de las fuentes y las tareas de tratamiento de datos y, posiblemente, evaluar y actualizar las políticas de uso en múltiples etapas a lo largo del ciclo de vida del tratamiento de datos.

De todo esto se infiere que la ingeniería de protección de datos no es una mera herramienta de cumplimiento del RGPD, sino que, al aplicar las medidas adecuadas y las salvaguardias necesarias para reforzar los principios de protección de datos, ofrece a los responsables del tratamiento una opción fáctica para compartir datos, minimizando al mismo tiempo el riesgo de uso indebido de la información, violación de datos u otras amenazas a la seguridad. Por tanto, el desarrollo de casos de uso convincentes para compartir datos de forma segura y legal es uno de los retos más cruciales para el éxito de la aplicación de los Espacios de Datos de la UE que, parece que, en el ámbito farmacéutico, se encuentra cubierto.