Las terapias digitales y el Espacio Europeo de Salud han venido para quedarse. Esta es una de las conclusiones alcanzadas por los participantes en el III Congreso de Derecho Farmacéutico, en el que especialistas como Jesús Rubí, socio de ECIJA; Lucía Escapa, jefa de Gabinete de la Secretaría General de Salud Digital, Información e Innovación para el SNS del Ministerio de Sanidad; Raquel Ballesteros, socia responsable del área de salud de Simmons & Simmons; y Lorena Pérez, abogada e investigadora del Massachusetts Institute of Technology, abordaron esta interrelación.
En sus intervenciones, moderadas por Francisco Almodóvar, abogado y miembro de la Sección de Derecho Farmacéutico del ICAM, señalaron que estas nuevas tecnologías van a crear nuevas responsabilidades por el uso de información terapéutica basada en datos personales, con todo lo que ello conlleva.
Al mismo tiempo, estos expertos se refirieron al caos existente debido a la confluencia de diferentes reglamentaciones y reales decretos. En su opinión, hará falta una armonización clara que aún no se sabe hacia dónde va, pero el impacto tecnológico es evidente: estamos en el inicio de la información terapéutica basada en datos personalizados.
Jesús Rubí, pieza clave de la AEPD durante más de veinticinco años, y ahora socio del despacho ECIJA, abordó la problemática de la investigación sanitaria y el tratamiento de datos personales. Este jurista recordó que los tiempos han cambiado y que ya no es necesario contar con el consentimiento de los pacientes en la perspectiva del tratamiento de datos personales: «Esto ha cambiado con la entrada del RGPD y la disposición adicional 17 de la nueva LOPDGDD. El RGPD, en su artículo 9, excepciona la investigación en el uso de esos datos personales».
Otra cuestión que comentó es que «los criterios interpretativos sobre el uso de estos datos en la investigación, que aparecen en los Considerandos 159, 157, 52, 53 y 33 del RGPD, entre otros, provocaron que el legislador español incluyera en esa disposición adicional 17 de la LOPDGDD distintas categorías genéricas para respaldar el uso de esos datos personales en la investigación sanitaria. Así, se habla de interés público esencial y de interés en el ámbito de la salud como elemento, entre otras cuestiones».
Sobre las bases jurídicas que recoge la LOPDGDD, está el consentimiento con fines de investigación para un tratamiento amplio vinculado a áreas generales de una especialidad médica concreta, así como asistencias sanitarias para organismos públicos en situaciones de especial gravedad: «También se aborda la reutilización de la información sanitaria con fines de investigación cuando, habiéndose logrado el consentimiento para una finalidad concreta, se utilice para una investigación con garantías».
En este contexto, recordó que una cuestión que se utiliza mucho son los datos seudoanonimizados, que requieren una serie de garantías especiales para que, solo en casos concretos, cuando haya reacciones graves del medicamento, se pueda excepcionalmente reidentificar. «Eso obliga a que haya una separación física entre el equipo investigador y quien haga esa seudoanonimización, de manera que solo esos datos sean accesibles al equipo de investigación». Otra cuestión que comentó es que hay que hacer una evaluación de impacto previa en esa investigación para evitar la reidentificación y un análisis de riesgos para que no se pueda identificar a nadie.
Un entorno normativo complejo
Por su parte, Lucía Escapa, jefa de Gabinete de la Secretaría General de Salud Digital, Información e Innovación para el SNS del Ministerio de Sanidad, subrayó el papel de las terapias digitales para abordar el nuevo Reglamento de IA desde el de Productos Sanitarios: «Los algoritmos de la IA en nuestro sector van a ser productos sanitarios, lo que ya genera mayor complejidad». También habló sobre la aportación del nuevo Reglamento Europeo de Datos de Salud.
Esta experta desmintió que se vaya a crear un nuevo repositorio de datos de salud con la aparición del Reglamento Europeo de Datos: «Van a seguir donde están, en posesión de los ‘data holders’, que además son ‘data controllers’ en el sentido del RGPD. Este nuevo Reglamento Europeo ayudará al uso de esos datos sanitarios solo en ciertas situaciones. Tiene aspectos diferentes al RGPD, ya que indica que el uso primario es la atención sanitaria de esa persona a la que pertenecen esos datos, mientras que el secundario es cualquier otro que no sea la asistencia sanitaria».
Otra cuestión que reveló es la confluencia entre el derecho, las tecnologías y los datos de salud, donde, junto al Estado, coexisten la UE y las CCAA: «Hay una relación clara entre el Reglamento Europeo de Datos de Salud y el de IA, a través de los usos, y se relaciona con el Reglamento de Productos Sanitarios. De hecho, esos algoritmos son productos sanitarios, tanto en el diagnóstico, tratamiento como en la prevención. Otros reglamentos a considerar son el EIDAS2, que regula la identidad electrónica, y el Reglamento de Ciberresiliencia, centrado en la seguridad informática que tendrán que cumplir los sistemas de historia clínica».
En otro momento de su intervención, comentó los algoritmos y usos de la IA en el ámbito sanitario: «Si es un producto armonizado o sanitario ‘in vitro’, está regulado por los Reglamentos 745 y 746 de 2017 y va a ser un producto de IA de alto riesgo. Eso significa que su certificación debe cubrir tanto el Reglamento de Productos Sanitarios como el propio de IA, aunque se haga en un único proceso. En este escenario, el Reglamento del Espacio Europeo de Salud se interrelaciona con el RGPD y crea una red de entidades públicas que serán responsables de recibir solicitudes de esos datos. En esas solicitudes hay que aclarar bien para qué se utilizan esos datos».
Espacio Europeo y RGPD confluyen
En su turno de palabra, Raquel Ballesteros, socia responsable del área de derecho de salud en Simmons & Simmons, se centró en la relación del Espacio Europeo de Salud con el RGPD. Posteriormente, entró más en detalle sobre la regulación de dicho Espacio Europeo: «Este Espacio Europeo ayuda al intercambio de datos en la UE, que se pretende sea independiente del consentimiento, para promover la innovación y una asistencia sanitaria sostenible, que pueda aprovecharse de la innovación a nivel europeo. Es evidente que su relación con el RGPD suscita muchas dudas. Sin embargo, ambas regulaciones van a seguir funcionando de forma independiente».
Esta experta recuerda que en la última fase de la tramitación del trílogo hubo mucho debate sobre esta cuestión del consentimiento: «Finalmente, se ha dejado esa posibilidad a los Estados miembros de establecer mecanismos de ‘opt-out’. Eso puede generar una fragmentación muy criticada por la industria. Sobre los otros dos supuestos que eran la salud pública y la investigación, en realidad, se mantienen y se amplían en el Espacio Europeo de Salud. Aquí surge el concepto del ‘permiso de datos’ como elemento clave».
En otro momento de su explicación, describió las aportaciones del Espacio Europeo de Datos para la investigación en su uso secundario y primario: «Hay un elemento de divergencia conceptual sobre el RGPD en cuanto a uso primario y secundario. Las claves son qué se va a intercambiar, para qué, quién, cómo lo va a hacer y dónde lo hará. En este contexto, es clave señalar que en ese intercambio de datos en el ámbito secundario se necesita un permiso de datos y del organismo de acceso que tiene que dar ese permiso. Ese permiso es de diez años y también se establecen límites a ese permiso de datos».
En ese intercambio de datos, hay que abonar unas tasas en el ámbito secundario, como explicó Ballesteros: «Esas tasas repercuten en el organismo de acceso para que pueda sufragar sus gastos, y las tasas que tendría que pagar el usuario de los datos al titular, cuando este haya hecho una inversión económica en recoger esos datos y enriquecerlos. Desde fuera, parece que será un terreno litigioso y pantanoso. Quien haya invertido en esos datos es posible que no quiera compartirlos y se oponga por razones de confidencialidad. Luego habrá que ver qué tasa se le paga para evitar el conflicto».
El foco en los pacientes
Cerró las intervenciones Lorena Pérez, abogada e investigadora del Massachusetts Institute of Technology, quien también hizo sus aportaciones al debate generado entre el nuevo entorno tecnológico derivado del RGPD y la normativa sectorial aprobada con ese Espacio Europeo de Datos de Salud como objetivo a implementar: «El ciudadano no es consciente del uso de sus datos para temas de salud. Es el momento de buscar un equilibrio entre el uso de esos datos sanitarios y los derechos de los pacientes».
Para esta investigadora, «es fundamental separar lo que es la actividad investigadora de la acción comercial de esos datos. Se busca un equilibrio más justo entre la innovación en la IA de salud y en la protección de esos derechos individuales, cuyos titulares van a pedir más información y el propio autocontrol de los mismos». En este contexto, explicó la propuesta de la ONU, conocida hace unos días, que ha señalado la necesidad de implementar un diálogo mundial sobre políticas de IA: «Se trata de que la IA sirva a los mejores intereses de la humanidad».
Otra de las cuestiones que comentó es que otros autores reclaman una legislación sobre la IA en salud de forma compendiada: «El problema es que el Reglamento de IA es muy generalista para cualquier tema específico, así como la creación de ventanillas únicas para que haya una relación estrecha entre las agencias españolas de medicamentos y las agencias encargadas de supervisar los sistemas de IA de alto riesgo. En este aspecto, hay que formar a los profesionales de la salud sobre IA y proporcionar mayor información a los pacientes sobre el uso de sus datos».
Pérez habló de la intersección del RGPD con el Reglamento de IA: «Estos sistemas de IA necesitan de datos que deben tratarse en un entorno protegido. No se pueden transferir. Se debe tener un registro de la actividad tanto en el uso de los datos como en las pruebas realizadas. El Reglamento de IA no señala que haya que informar al interesado sobre el uso de sus datos, y este elemento es contrario al propio RGPD existente. De esta forma, es difícil que pueda ejercer los derechos de acceso, rectificación y oposición si no sabe que con sus datos se entrenan herramientas de IA. Hay retos importantes sobre la garantía y seguridad de los datos y cómo garantizar esa anonimización de dichos datos».
