Privacidad: ¿Es una ilusión el anonimato de los pacientes?
Las investigaciones sobre historias electrónicas, los ensayos clínicos y otros estudios que involucran a pacientes requieren que los datos que los identifican sean anónimos o, al menos, que se anonimicen tras su obtención. Este requerimiento práctico y ético es tan importante como el consentimiento informado para realizar procedimientos médicos. Sin embargo, un nuevo estudio muestra que no es difícil identificar a quien se hizo anónimo mediante un procedimiento computacional. ¿Es el anonimato una ilusión en la era del Big Data?¿Puede un algoritmo identificar quién está detrás de un voluntario supuestamente anónimo?¿Es el fin de la privacidad, también, en Medicina?
Según un estudio realizado por dos universidades europeas y publicado en la revista Nature Communications, bastan 15 variables demográficas (por ejemplo, sexo, edad, fecha de nacimiento, estado marital, código postal) para que un modelo de análisis esadístico re-identifique al 99,8% de individuos estadounidenses cuyos datos fueron anonimizados.
El tema no es menor en una era donde se coleccionan grandes cantidades de datos de individuos en forma supuestamente anónima con propósitos de marketing, financieros o de investigación científica. La Inteligencia Artificial, que puede analizar millones de datos a partir de análisis de laboratorio o imágenes de pacientes, ha puesto nuevamente sobre el tapete médico el tema de la privacidad.
Sobran los ejemplos controvertidos sobre la seguridad de los datos involucrados en la salud digital. Se ha cuestionado la cesión de un millón de imágenes oculares del National Health Service de Gran Bretaña al sistema Deep Mind de Google para desarrollar un algoritmo diagnóstico. Por su parte, el documental “The Great Hack” revela cómo Facebook vendió datos de sus usuarios a la consultora Cambridge Analytica, que los implementó para dirigir mensajes políticos a cada votante, aunque había prometido anonimizar los datos. Por último, según un artículo publicado en The New York Times, ya es posible identificar la cara de alguien a partir de de su resonancia magnética de cerebro. Los investigadores de la Clínica Mayo mostraron que el software de reconocimiento facial lo logra fácilmente, aunque las imágenes estén anonimizadas.
Las aplicaciones de Inteligencia Artificial quizás son las que más riesgo de invadir la privacidad tienen. El sistema de machine learning de Deep Mind está trabajando en el pronóstico de la insuficiencia renal aguda, basándose en datos de 700.000 veteranos de Estados Unidos. ¿Logrará mantener sus datos en secreto? En cuanto a Facebook, se sabe que está desarrollando, junto con prestigiosas instituciones médicas, una serie de herramientas digitales para prevenir enfermedades cardíacas y cánceres a partir de datos anonimizados de hospitales. Conociendo el uso de los datos que ha hecho la compañía de Zuckerberg, ¿cómo confiar en que mantendrá la privacidad de los pacientes que analice?
Para evitar los riesgos de identificación de los pacientes, ya existen normas en la Unión Europea que exigen la anonimización de los datos. Una vez vueltos anónimos, las leyes europeas permiten que esos datos se compartan con fines médicos y científicos. Pero, como mostraron varios estudios, la anonimización no impide siempre la reidentificación de las personas. De hecho, un periodista y un especialista informático de Alemania reidentificaron a tres millones de ciudadanos alemanes en base a sus hábitos de navegación por internet y fueron capaces de publicar su información médica e, incluso, sus preferencias sexuales. Por su parte, varios hackers vencieron la cibersecuridad de hospitales de distintos países para robar –y, probablemente, vender- los datos de los pacientes. La anonimización de los datos no pudieron impedir estas maniobras.
“Las empresas y los gobiernos han minimizado el riesgo de reidentificación, argumentando que los datasets que venden son siempre incompletos”, reflexionó Yves-Alexandre de Montjoye, autor principal del estudio publicado en Nature Communications e investigador del Imperial College London. “Nuestros hallazgos contradicen esta idea y demuestran que un atacante puede fácil y precisamente estimar la probabilidad de que un documento pertenece a una persona que están buscando”.
Por su parte, Julien Hendrickx, de la Universidad de Louvain, en Bélgica, agrega que “frecuentemente nos aseguran que la anonimización mantendrá segura nuestra información personal. Nuestro estudio muestra que la desidentificación no es suficiente para proteger la privacidad de los datos de la gente”, advierte el investigador.
Una ley de California, Estados Unidos, que entrará en vigencia en 2020 resguardará la privacidad de los datos digitales y garantizará que los consumidores puedan tener acceso a su información personal cuando lo deseen. Esta ley obligará a anonimizar y encriptar los datos de las personas, además de establecer protocolos exigentes de autentificación para acceder a sus datos. Si bien la norma castigará con grandes multas a las empresas e instituciones que no cumplan con estos requerimientos, lo cierto es que la tecnología va siempre un paso adelante de la ley. Ante las continuas innovaciones médicas, será difícil mantener la privacidad de los pacientes. Algunos expertos anticipan que la compliance con estas normas de privacidad terminará convirtiéndose en otra ilusión del siglo XXI.
Por Alejandra Folgarait