Noticias
  • Escrito por
  • 9 Jul 2020

Perfilajes y decisiones automatizadas en el ámbito de la salud

Perfilajes y decisiones automatizadas en el ámbito de la salud

En el ámbito sanitario cada vez es más frecuente el uso de herramientas basadas en inteligencia artificial y que en menor o mayor medida se utilizan en el proceso de diagnóstico del paciente.

El uso de estas herramientas tiene varias implicaciones legales como pueden ser la legitimación para el uso de datos personales en su proceso de creación y validación, en especial a la fase de entrenamiento de algoritmos, la consideración de estas herramientas como producto sanitario y su procedimiento de aprobación, los límites de la toma de decisiones automatizada o la aplicabilidad de los principios tradicionales de protección de datos a los tratamientos realizados por estas herramientas.

De estas implicaciones, analizaremos la aplicabilidad del artículo 22 del Reglamento General de Protección de Datos – RGPD [1], relativo a los límites de los tratamientos de datos basados en decisiones automatizadas. Este artículo aplica en relación a las soluciones basadas en inteligencia artificial que ya han sido validadas, y están implantadas y en funcionamiento, en un entorno sanitario como puede ser un hospital, pero que se tiene que analizar y tener en cuenta desde la fase de diseño de la herramienta.

El artículo 22 del RGPD, en su primer apartado establece que “cualquier interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que lo afecten o que lo afecten significativamente de manera similar”, para continuación en su apartado segundo, establecer unas excepciones en que si será admisible la toma de decisiones automatizadas.

Para comprender el alcance de este artículo tenemos que analizar el significado de los conceptos de perfilaje o elaboración de perfiles y la toma de decisiones automatizadas.

 

ELABORACIÓN DE PERFILS O PERFILAJE

Partimos de que existe una elaboración de perfiles o perfilatge cuando según la definición dada por el artículo 4.4 del RGPD se dan los siguientes elementos:

 

  1. Existe una forma automatizada de tratamiento,
  2. En relación a datos personales,
  • El objetivo del cual se evaluar aspectos personales en relación a una determinada persona física.

Es importante distinguir la elaboración de perfiles de la simple clasificación de personas, puesto que hay un elemento a la definición, evaluar, que implica analizar o hacer predicciones sobre personas.

El perfilaje por lo tanto implica analizar información para clasificar a las personas en diferentes grupos o sectores. Este análisis identifica correlaciones entre diferentes comportamientos y características para crear perfiles para individuos, es decir, se generan nuevos datos personales en relación a estos individuos.

La elaboración de perfiles se utiliza en el ámbito sanitario por ejemplo, mediante la aplicación de aprendizaje automático para predecir la salud de los pacientes o la probabilidad que un tratamiento sea el adecuado para un paciente en particular en función de ciertas características del grupo.

 

TOMA DE DECISIONES AUTOMATIZADAS

 

En relación a la toma de decisiones automatizadas, no encontramos una definición al RGPD, pero según el establecido al Documento Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 del Grupo de Trabajo del artículo 29 la decisión automatizada es la capacidad de toma de decisiones basadas únicamente en medios tecnológicos sin una participación/supervisión humana.

Esta supervisión humana tiene que llevarse a cabo de forma que sea significativa por la presa de la decisión, no únicamente simbólica o rutinaria. Se tiene que llevar a cabo por una persona autorizada y competente con capacidad suficiente para modificar la decisión, y capaz de entender todos los datos para tenerlas en cuenta en la hora de realizar el correspondiente análisis.

 

DECISIÓN AUTOMATIZADA, ELABORACIÓN DE PERFILES Y APLICACIÓN DEL ARTÍCULO 22 DEL RGPD.

Tal y como hemos indicado en el punto anterior, a través de la evaluación de impacto que basura incorporaremos el estudio de todos los elementos que nos permitan determinar como afecta la participación humana en el procedimiento de toma de decisiones y si esta se suficiente para descartar la aplicación del artículo 22 del RGPD, o por el contrario nos encontramos dentro de su ámbito de aplicación.

Determinada la aplicación del el artículo 22.1 del RGPD a través de la evaluación de impacto, tenemos que hacer mención a la independencia entre los conceptos de elaboración de perfiles y decisiones automatizadas y la existencia de una no tiene porque presuponer la existencia del otro.

En el marco de la elaboración de perfiles podemos encontrar que se den varias situaciones:

 

  • que la elaboración de perfil suponga un tratamiento basado únicamente en una decisión automatizada
  • que la elaboración de perfiles no implique ninguna toma de decisiones basadas únicamente en una decisión automatizada o,
  • que directamente no implique la presa de ninguna decisión.

 

De estos tres supuestos el artículo 22.1 RGPD solo aplicaría en el primer caso, cuando  se establece el derecho a no ser objeto de una decisión basada únicamente con un tratamiento automatizado.

Así mismo, también tenemos que tener en cuenta que una decisión automatizada, no tiene porque basarse en una elaboración de perfiles, a pesar de que suele ser lo más usual. Por lo tanto el artículo 22.1 RGPD aplicará solo cuando haya una decisión automatizada, que a su vez puede, o no, basarse en una elaboración de perfiles.

Por lo tanto podemos afirmar que los conceptos de decisión automatizada y elaboración de perfiles se solapan, pero se pueden dar de forma independiente. Es decir las decisiones automatizadas se pueden dar sin elaboración de perfiles, y la elaboración de perfiles se puede dar sin que hayan decisiones automatizadas.

Finalmente, hay que hacer mención a que porque aplique este artículo 22.1 del RGPD, hace falta que se complexi un último requisito, y es que esta decisión “lo afecten o que lo afecten significativamente de manera similar” al titular de los datos. En el caso de aplicación al ámbito de salud, esta afectación directo de la decisión automatizada a los titulares de los datos, es difícil pensar en una situación en que no se produzca, puesto que estas herramientas primordialmente son de ayuda a los profesionales sanitarios en el ámbito del diagnóstico y por tanto impactan directamente en la salud de los pacientes.

La prohibición de tratamiento del artículo 22.1 RGPD, no operará cuando se den cualquier de los supuestos previstos en el artículo 22.2 RGPD:

 

  • Si la decisión automatizada es necesaria para la celebración o la ejecución de un contrato,
  • Si la decisión automatizada está autorizada por el Derecho de la Unión o de los estados miembros o
  • Si la decisión automatizada se basa en el consentimiento explícito del interesado.

 

Si se dan cualquier de los supuestos indicados en este artículo 22.2 RGPD, no operará la prohibición del artículo 22.1 RGPD, pero se tendrá que tener en cuenta que igualmente se tienen que aplicar determinadas garantías como por ejemplo el derecho a la información, o en determinados supuestos a la obtención de una intervención humana por parte del propio responsable del tratamiento, a expresar su opinión e impugnar la decisión, entre otros.

Tanto en el caso de decisiones automatizadas cómo de elaboración de perfiles, al margen del artículo 22 RGPD, se tienen que tener en cuenta en la hora de aplicar los principios del artículo 5 RGPD y de las bases legitimadoras, arte 6 y 9 RGPD.

Precisamente la relación entre elaboración de perfiles, decisiones automatizadas y herramientas de inteligencia artificial es el elemento que reviste más complejidades en la hora de aplicar los principios y garantías de la normativa de protección de datos. En relación a la aplicación de estas garantías, hay una tensión entre los principios tradicionales de protección de datos, como la limitación de propósitos, la minimización, el principio de transparencia en el tratamiento o las propias limitaciones a las decisiones automatizadas del artículo 22 RGPD con su aplicación al ámbito de la inteligencia artificial, que se ha abordado en el informe del Parlamento Europeo Study The Impact of the General Fecha Protection Regulation (GDPR) donde artificial Intelligence.

Este documento constata la existencia de estas tensiones, considerando compatible la aplicación de los principios del RGPD en el ámbito de la inteligencia artificial, pero estimando necesario la realización de actuaciones por parte de las autoridades competentes a efectos de solventar y aclarar este tensiones y aparentes contradicciones, ya sea a través de directrices de interpretación o normativas, que se pueden producir en la aplicación del RGPD en este ámbito.

 

REFERENCIAS

  • Guidance for automated decision-making and profiling. ICO

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/automated-decision-making-and-profiling/

  • Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679

https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

  • Study The Impact of the General Data Protection Regulation (GDPR) on artificial Intelligence.

https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf

 

NOTES AL PEU

[1] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de les personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos y por el cual se deroga la Directiva 95/46/CE

[2] Topol, E.J. (2019). High-Performance Medicine: The Convergence of Human and Artificial Intelligence. Nature Medicine, vol. 25, núm. 1: https://doi.org/10.1038/s41591-018-0300-7

Butlletí Flash TICSS

Subscriu-te i rep cada mes novetats i notícies al teu email

Email