La historia clínica, última frontera de la privacidad

Tests genéticos masivos, aplicaciones móviles y relojes inteligentes que registran indicadores corporales, antecedentes médicos on line: los datos personales de salud son hoy una información codiciada que circula casi sin control en la web. Mientras una de cada cinco búsquedas en Google se vincula con el bienestar físico, el debate sobre la defensa de la privacidad llegó al cuerpo humano. 

No es fácil negociar lo público y lo privado en la era de las redes sociales y el big data, cuando los sistemas informáticos pueden cruzar grandes volúmenes de datos aislados para extraer tendencias inesperadas e información sensible. "Las tecnologías modernas de la información han permitido un enorme avance en nuestra habilidad para difundir información -a veces, sensible- a los demás sin siquiera darnos cuenta de que lo estamos haciendo. A veces, esta capacidad crea problemas, como el compartir demasiado o revelar cosas de las que después nos arrepentimos", reflexiona Alessandro Acquesti, profesor de IT y Políticas Públicas en la Universidad Carnegie Mellon, en Estados Unidos. 

En pocos aspectos la difusión y el cruce de información en la Web es tan riesgoso como en la salud, un campo de "datos sensibles" que pueden usarse tanto para mejorar la atención a los pacientes como para direccionar publicidad y hasta discriminar a personas con determinadas patologías.

Google, que realiza el 68% de las búsquedas de Internet en los Estados Unidos y el 90% en Europa, reconoce que una de cada cinco búsquedas de información online se vincula con la salud. Lo que no dice es qué hace con ellas.

La mayoría de la gente duda y toma decisiones sobre sus datos privados según factores no siempre racionales. "Los avances en tecnología de la información han tornado muchas veces invisible la recolección y el uso de los datos personales", escribió Acquesti en la revista Science. "Como resultado, las personas pocas veces tienen un conocimiento claro de qué información tienen otros individuos, empresas y gobiernos sobre ellas, o cómo esa información es usada y qué consecuencias tiene."

También en el ámbito de la salud el deslumbramiento con los avances tecnológicos parece operar como las anteojeras de un caballo. Éste parece ser el caso del flamante smartwatch de Apple. El festejado anuncio de su capacidad para medir parámetros de fitness opacó las preguntas por los datos que podrían quedar almacenados en la plataforma HealthKit. Si bien se supone que el usuario tendrá que firmar una póliza para permitir el acceso a su información personal, ¿quién se tomará el trabajo de leer la letra chica?

La explosión de aplicaciones móviles puede incrementar aún más la vulnerabilidad de los usuarios. Existen decenas de apps ligadas a la salud que permiten medir desde el sedentarismo y las calorías ingeridas hasta la presión arterial y el riesgo cardíaco. La mayoría de estas aplicaciones no sólo carece de controles de calidad científica, sino que también solicita acceso a datos personales. ¿Para qué quieren Google Fit o Runtastic tener acceso a identidad, ubicación y fotos del usuario? No se sabe.

"Las aplicaciones no pueden recolectar datos sensibles para cualquier finalidad, ni asentarlos en una base de datos, ni compartirlos con terceros", advierte Juan Antonio Travieso, profesor titular de la Facultad de Derecho de la UBA y ex responsable de la Dirección Nacional de Protección de Datos Personales.

Según informó Chantal Bernier, defensora parlamentaria del derecho a la privacidad de Canadá, un ciudadano de ese país presentó un reclamo formal porque le aparecían online constantemente avisos sobre dispositivos para tratar la apnea del sueño después de buscar información sobre esa enfermedad en Google. La empresa norteamericana prometió revisar la cuestión.

No se trataría, sin embargo, de una situación excepcional. Timothy Libert, investigador de la Escuela de Comunicación Annenberg de la Universidad de Pensilvania, acaba de publicar un estudio en el que muestra que nueve de cada 10 búsquedas de información en sitios de salud públicos o privados abren las puertas a "terceros partidos", ya sean compañías de marketing que diseñan avisos específicos para el usuario, ya sean brokers de datos, que simplemente recogen información y la venden.

"La información personal de salud, históricamente protegida por el juramento hipocrático, se ha convertido súbitamente en propiedad de corporaciones privadas que pueden vendérsela al mejor postor o usarla accidentalmente para discriminar a los enfermos", advierte Libert.

Riesgos y beneficios

Los datos de salud son sensibles porque pueden ser utilizados para discriminar a sus dueños. Por ejemplo, el revelar que una persona es hipertensa o que toma una medicación psiquiátrica puede perjudicarla a la hora de conseguir trabajo. Claro que no todos los usos de datos médicos tienen fines malévolos. Los países más avanzados en salud implementan hace años un sistema para guardar online los antecedentes médicos de todos los pacientes.

Al tener acceso a las historias clínicas por medio de una clave, los médicos pueden atender más rápido y mejor a las personas que llegan al consultorio, aunque sea la primera vez que las vean. Los registros electrónicos unificados permiten, además, seguir la evolución del paciente a lo largo del tiempo y evaluar los procedimientos médicos realizados. Con todo, el sistema no está exento de los desafíos de seguridad que se debaten en todo el mundo.

"La confidencialidad, la privacidad y la seguridad son preocupaciones de los pacientes y también de los médicos", reconoce Daniel Luna, médico clínico y jefe del Departamento de Informática en Salud del Hospital Italiano, que cuenta con más de 700.000 historias clínicas electrónicas almacenadas en un data center propio, bajo un sistema de encriptación.

"Hay que buscar un equilibrio entre la accesibilidad y la privacidad", explica Luna. En el Hospital Italiano, dice, todos los pacientes firman un consentimiento informado y pueden acceder a su historia, los resultados de sus estudios y también remover la información que deseen. "Sólo los médicos que asisten a cada paciente tienen acceso a sus datos, que tenemos la obligación de guardar durante al menos 10 años. Y todos, tanto médicos como pacientes, están muy contentos con el sistema", se entusiasma Luna, quien subraya la existencia de un marco regulatorio para las bases de datos médicos que el Hospital Italiano cumple a pie juntillas.

La ley argentina 25.326, que protege los datos personales, contempla especialmente los llamados "datos sensibles", que incluyen el origen étnico, las opiniones políticas, las convicciones religiosas y la información referente a la salud o la vida sexual. En este sentido, no se puede revelar en la Argentina ningún dato médico de personas determinadas (o determinables). Además, existe una ley que regula el manejo de historias clínicas digitales.

"La historia clínica electrónica es un gran avance en medicina, porque permite salvar vidas", señala Carlos Tajer, jefe de Cardiología del Hospital El Cruce, pionero a nivel público en el uso de esta tecnología. "En países donde no hay información estadística sobre muchas patologías, como la Argentina, la cuestión central no es el temor al uso de los datos -enfatiza-, sino las ventajas de contar con un registro electrónico de las enfermedades y los tratamientos utilizados."

"La ley argentina explicita que el paciente es dueño de sus datos", agrega Laura Antonietti, jefa de Investigación de El Cruce. "Si se comparten los datos para hacer un estudio, hay que garantizar que estén «anonimizados», es decir, codificados de modo de no poder identificar de quién se trata."

¿Qué pasa con las empresas de medicina prepaga, que saben el nombre y el número de documento de identidad, la dirección personal, la edad, el sexo, las operaciones, los partos y las caries dentales de sus clientes? "Los financiadores -obras sociales, prepagas- no están autorizados a llevar un registro de datos sensibles de las personas ni a darles información a terceros", informa Travieso.

Los registros médicos y las compras en farmacias representan una mina de oro a la hora de saber qué recetan los médicos y cuál es el perfil de los pacientes. ¿Pueden los laboratorios farmacéuticos acceder a estos datos? No legalmente.

¿De quién es ese ADN?

Los avances en genómica han puesto la cuestión de la privacidad al rojo vivo. Compañías como 23andMe ofrecen analizar las partes más significativas del ADN de una persona por menos de 100 dólares.

Basta mandar una muestra de saliva para recibir a vuelta de correo un informe sobre la presencia de genes asociados a enfermedades y una reconstrucción de los ancestros. De esta manera, por ejemplo, una mujer puede enterarse de que porta una mutación que aumenta su probabilidad de desarrollar cáncer de mama y ovario. Esa información puede servirle para tomar la decisión de operarse preventivamente, como hizo Angelina Jolie. Pero también podría ser utilizada para discriminarla a la hora de ofrecerle un seguro de vida.

Aunque la Oficina de Drogas y Alimentos (FDA) de Estados Unidos frenó hace un tiempo la venta directa de kits genéticos, 23andMe ya está restableciendo algunos de sus servicios. Y sigue recolectando no sólo data genética, sino también información sobre los comportamientos de sus clientes. El asunto se complica si se toma en cuenta que la dueña de 23andMe, Anne Wojsicki, fue hasta 2013 la esposa de uno de los fundadores de Google, Sergei Brin. ¿Qué interés en común pueden tener una empresa que vende tests genéticos y el mayor buscador de Internet? Las teorías conspirativas abundan. Lo cierto es que, a pesar del divorcio, ambas empresas anunciaron recientemente que desarrollarán fármacos utilizando la base de datos de 23andMe.

Federico Prada, profesor de las carreras de Biotecnología y Bioinformática de la UADE, es uno de los argentinos que utilizaron el servicio de 23andMe para conocer su riesgo de padecer o transmitir enfermedades genéticas. Pero la relación de Prada con 23andMe no terminó con su ADN. Periódicamente, la compañía le manda cuestionarios con toda clase de preguntas, desde si siente modorra después de comer hasta si le molestan los ruidos fuertes. Además, le piden autorización para utilizar sus datos con distintas finalidades. "Al principio aceptaba todo, ahora ya menos", dice el biólogo, quien subraya que es partidario de compartir información en forma anónima y gratuita para el avance de la ciencia. "Aunque ellos ganen plata con mis datos, yo creo que tengo que compartirlos. Sólo cruzando la información genética con la ambiental podremos encontrar curas para muchas enfermedades", enfatiza Prada.

A esto apunta la iniciativa Medicina de Precisión, lanzada recientemente por el presidente de Estados Unidos, Barack Obama. Con un presupuesto de 215 millones de dólares, el plan es crear una base de datos de salud de un millón de voluntarios, que incluirá ADN, proteínas, cultivos biológicos, alimentación, ejercicio, historia clínica, e información proveniente de dispositivos móviles y ensayos clínicos. A partir de este caudal de datos, los científicos podrían diseñar tratamientos personalizados para el cáncer y otras enfermedades.

La cuestión es cómo se manejará semejante empresa de big data y cómo se garantizará la privacidad. Para empezar, será preciso obtener el consentimiento informado de un millón de personas para que compartan sus datos sensibles. Según anticipó Francis Collins, director de los Institutos Nacionales de Salud (NIH), los participantes tendrán acceso a su información y a los estudios que usen sus datos.

Si bien la privacidad puede parecer un lujo posmoderno, es una demanda que se reconoce en diferentes culturas y épocas, desde los antiguos griegos a los modernos tuaregs.

"No siempre se puede contar con que la gente tome decisiones en su propio interés en las complejas transacciones que involucran la privacidad", desliza George Loewenstein, profesor de Economía y Psicología de la Universidad Carnegie Mellon. "La gente puede necesitar ayuda, y aun protección, para equilibrar un campo de juego que actualmente es muy desigual."

¿Cómo protegerse? Acquisti recomienda usar tecnologías conocidas como PET (como el programa TOR) para robustecer la privacidad. Sin embargo, dada la cantidad de información compartida sin el conocimiento del ciudadano, el investigador alerta sobre que estas tecnologías no brindan total protección. "Necesitamos, además, intervenciones políticas, regulaciones inteligentes para ayudar a equilibrar la necesidad de privacidad y el valor del big data", subraya.

Para ser efectiva, dice Acquisti, una política de privacidad debe proteger a la gente real -"que es ingenua, insegura y vulnerable"- y debería ser lo suficientemente flexible para evolucionar con las complejidades de la era de la información.

Travieso aporta una recomendación final: "La gente tiene que comprender que la tecnología actual no es una plancha. La tecnología permite asociar información, y eso tiene un valor. La información personal es lo más preciado que tiene una persona. Así como cada uno cuida su auto, lo cierra con llave y lo asegura contra riesgos, así tiene que cuidar sus datos".

Cada uno puede ser su propio hacker

¿Cuánto importa realmente la privacidad? Si hace algunos años se anunciaba su fin, hoy parece haber adquirido el estatus de las hadas: una ilusión.

El temor al mal uso de la información privada, que asomó al filo del nuevo milenio, se globalizó tras las revelaciones de Edward Snowden sobre el espionaje de las comunicaciones digitales que llevaba a cabo la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.

Según una encuesta realizada por el Pew Center en 2014, el 80% de los estadounidenses está preocupado por el monitoreo gubernamental de llamadas y mails. Además, el 91% de los adultos señala que los consumidores han perdido el control sobre cómo las empresas recolectan y usan información personal, y el 81% no se siente seguro al usar redes sociales.

No es pura paranoia: en 2014, las violaciones de datos aumentaron un 27,4% en los Estados Unidos, con Home Depot y Sony como los casos más notorios de robo de información. Pero lo cierto es que las amenazas a la privacidad no sólo surgen por los hackers, sino también a partir de los datos compartidos voluntariamente.

Uno de los anticuerpos contra la "fobia digital" es la promulgación europea del "derecho a ser olvidado", que obliga a los motores de búsqueda a borrar información que un usuario considera lesiva.

Otro calmante es la promesa de utilizar los datos en forma anónima o de manejarlos con sofisticados sistemas de encriptación. Con todo, un estudio del MIT mostró que, si se conoce cuánto pagó alguien por un producto, alcanza con tener otros tres datos -por ejemplo, un recibo de la compra, una foto tomando café con amigos subida a Instagram y un tuit sobre el objeto comprado- para tener un 94% de probabilidades de identificar a una persona en una base de datos, aun sin conocer su nombre o número de tarjeta.

Un cálculo realizado en 2008 estimó que si una persona leyera la política de privacidad de todos los sitios por los que navega, perdería 244 horas de su vida. Hoy, esa cifra podría engrosarse con un cero, y ni así produciría un pestañeo. Si bien la transparencia sobre el uso de la información es una práctica de casi todos los sitios online, "las políticas de privacidad no están designadas para el uso humano", escribe Susan Landau, investigadora del Worcester Polytechnic Institute, en la revista Science.

No se trata sólo de que los sitios diseñan políticas de privacidad que requieren un máster para ser comprendidas, sino del uso que les dan a los bits recolectados y el contexto en el que los utilizarán en el futuro.

Fuente: La Nación