Perfilatges i decisions automatitzades en l'àmbit de la salut

Autor: TIC Salut Social / 9 de juliol de 2020

9 de juliol de 2020

En l’àmbit sanitari cada vegada és més freqüent l’ús d’eines basades en intel·ligència artificial i que en menor o major mesura s’utilitzen en el procés de diagnòstic del pacient.

L’ús d’aquestes eines té diverses implicacions legals com poden ser la legitimació per a l’ús de dades personals en el seu procés de creació i validació, en especial a la fase d’entrenament d’algoritmes, la consideració d’aquestes eines com a producte sanitari i el seu procediment d’aprovació, els límits de la presa de decisions automatitzada o l’aplicabilitat dels principis tradicionals de protecció de dades als tractaments realitzats per aquestes eines.

D’aquestes implicacions, analitzarem l’aplicabilitat de l’article 22 del Reglament General de Protecció de Dades – RGPD [1], relatiu als límits dels tractaments de dades basats en decisions automatitzades. Aquest article aplica en relació a les solucions basades en intel·ligència artificial que ja han sigut validades, i estan implantades i en funcionament, en un entorn sanitari com pot ser un hospital, però que s’ha d’analitzar i tenir en compte des de la fase de disseny de l’eina.

L’article 22 del RGPD, en el seu primer apartat estableix que “qualsevol interessat té dret a no ser objecte d’una decisió basada únicament en el tractament automatitzat, inclosa l’elaboració de perfils, que produeixi efectes jurídics que l’afectin o que l’afectin significativament de manera similar”, per a continuació en el seu apartat segon, establir unes excepcions en que si serà admissible la presa de decisions automatitzades.

Per a comprendre l’abast d’aquest article hem d’analitzar el significat dels conceptes de perfilatge o elaboració de perfils i la presa de decisions automatitzades.

ELABORACIÓ DE PERFILS O PERFILATGE

Partim de que existeix una elaboració de perfils o perfilatge quan d’acord a la definició donada per l’article 4.4 del RGPD es donen els següents elements:

Existeix una forma automatitzada de tractament,
En relació a dades personals,

L’objectiu del qual es avaluar aspectes personals en relació a una determinada persona física.

És important distingir l’elaboració de perfils de la simple classificació de persones, ja que hi ha un element a la definició, avaluar, que implica analitzar o fer prediccions sobre persones.

El perfilatge per tant implica analitzar informació per classificar a les persones en diferents grups o sectors. Aquesta anàlisi identifica correlacions entre diferents comportaments i característiques per crear perfils per a individus, és a dir, es generen noves dades personals en relació a aquests individus.

L’elaboració de perfils s’utilitza en l’àmbit sanitari per exemple, mitjançant l’aplicació d’aprenentatge automàtic per predir la salut dels pacients o la probabilitat que un tractament sigui l’adequat per a un pacient en particular en funció de certes característiques del grup.

PRESA DE DECISIONS AUTOMATITZADES

En relació a la presa de decisions automatitzades, no trobem una definició al RGPD, però d’acord a l’establert al Document Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 del Grup de Treball de l’article 29 la decisió automatitzada és la capacitat de presa de decisions basades únicament en medis tecnològics sense una participació/supervisió humana.

Aquesta supervisió humana ha de portar-se a terme de forma que sigui significativa per la presa de la decisió, no únicament simbòlica o rutinaria. S’ha de portar a terme per una persona autoritzada i competent amb capacitat suficient per modificar la decisió, i capaç d’entendre totes les dades per tenir-les en compte a l’hora de realitzar el corresponent anàlisi.

En aquest sentit el Grup de Treball de l’article 29 estableix que “tota revisió ha de ser duta a terme per una persona amb l’autorització i capacitat adequades per modificar la decisió. El revisor ha de dur a terme una avaluació completa de totes les dades pertinents, inclosa qualsevol informació addicional facilitada per l’interessat”.

Una referència pràctica d’aquest anàlisis de l’existència o no d’intervenció humana a l’àmbit clínic és l’escala proposada per Eric J. Topol [2] que proporciona un criteri per a mesurar el grau d’automatització de les eines d’intel·ligència artificial en l’àmbit clínic, utilitzant una escala dividida en 6 fases que va des de l’absència d’automatització fins a la total automatització.

Per avaluar precisament, aquest grau d’intervenció humana és fonamental fer-ho a través de l’avaluació d’impacte. En aquestes situacions quan es porta a terme l’avaluació d’impacte d’acord amb l’establert a l’article 35 del RGPD, s’hauran d’analitzar els aspectes indicats en els paràgrafs anteriors, per justificar la aplicació o no aplicació de l’article 22.1 del RGPD, identificant quin es el grau de participació humana en el procediment de presa de decisions.

DECISIÓ AUTOMATITZADA, ELABORACIÓ DE PERFILS I APLICACIÓ DE L’ARTICLE 22 DEL RGPD.

Tal i com hem indicat en el punt anterior, a través de l’avaluació d’impacte que fem incorporarem l’estudi de tots els elements que ens permetin determinar com afecta la participació humana en el procediment de presa de decisions i si aquesta es suficient per a descartar l’aplicació de l’article 22 del RGPD, o pel contrari ens trobem dins el seu àmbit d’aplicació.

Determinada l’aplicació del l’article 22.1 del RGPD a través de l’avaluació d’impacte, hem de fer esment a la independència entre els conceptes d’elaboració de perfils i decisions automatitzades i l’existència d’una no té perquè pressuposar l’existència de l’altre.

En el marc de l’elaboració de perfils podem trobar que es donin diverses situacions:

que l’elaboració de perfil suposi un tractament basat únicament en una decisió automatitzada
que l’elaboració de perfils no impliqui cap presa de decisions basades únicament en una decisió automatitzada o,
que directament no impliqui la presa de cap decisió.

D’aquests tres supòsits l’article 22.1 RGPD sols aplicaria en el primer cas, quan s’estableix el dret a no ser objecte d’una decisió basada únicament amb un tractament automatitzat.

Així mateix, també hem de tenir en compte que una decisió automatitzada, no té perquè basar-se en una elaboració de perfils, tot i que sol ser el més usual. Per tant l’article 22.1 RGPD aplicarà sols quan hi hagi una decisió automatitzada, que a la seva vegada pot, o no, basar-se en una elaboració de perfils.

Per tant podem afirmar que els conceptes de decisió automatitzada i elaboració de perfils es solapen, però es poden donar de forma independent. És a dir les decisions automatitzades es poden donar sense elaboració de perfils, i la elaboració de perfils es pot donar sense que hi hagin decisions automatitzades.

Finalment, cal fer esment a que perquè apliqui aquest article 22.1 del RGPD, cal que es complexi un últim requisit, i és que aquesta decisió “l’afectin o que l’afectin significativament de manera similar” al titular de les dades. En el cas d’aplicació a l’àmbit de salut, aquesta afectació directe de la decisió automatitzada als titulars de les dades, és difícil pensar en una situació en que no es produeixi, ja que aquestes eines primordialment són d’ajuda als professionals sanitaris en l’àmbit del diagnòstic i per tant impacten directament en la salut dels pacients.

La prohibició de tractament de l’article 22.1 RGPD, no operarà quan es donin qualsevol dels supòsits previstos a l’article 22.2 RGPD:

Si la decisió automatitzada és necessària per a la celebració o l’execució d’un contracte,
Si la decisió automatitzada està autoritzada pel Dret de la Unió o dels estats membres o
Si la decisió automatitzada es basa en el consentiment explícit de l’interessat.

Si es donen qualsevol dels supòsits indicats en aquest article 22.2 RGPD, no operarà la prohibició de l’article 22.1 RGPD, però s’haurà de tenir en compte que igualment s’han d’aplicar determinades garanties com per exemple el dret a la informació, o en determinats supòsits a l’obtenció d’una intervenció humana per part del propi responsable del tractament, a expressar la seva opinió i impugnar la decisió, entre d’altres.

Tant en el cas de decisions automatitzades com d’elaboració de perfils, al marge de l’article 22 RGPD, s’han de tenir en compte a l’hora d’aplicar els principis de l’article 5 RGPD i de les bases legitimadores, art 6 i 9 RGPD.

Precisament la relació entre elaboració de perfils, decisions automatitzades i eines d’intel·ligència artificial és l’element que revesteix més complexitats a l’hora d’aplicar els principis i garanties de la normativa de protecció de dades. En relació a l’aplicació d’aquestes garanties, hi ha una tensió entre els principis tradicionals de protecció de dades, com la limitació de propòsits, la minimització, el principi de transparència en el tractament o les pròpies limitacions a les decisions automatitzades de l’article 22 RGPD amb la seva aplicació a l’àmbit de la intel·ligència artificial, que s’ha abordat en l’informe del Parlament Europeu Study The Impact of the General Data Protection Regulation (GDPR) on artificial Intelligence.

Aquest document constata l’existència d’aquestes tensions, considerant compatible l’aplicació dels principis del RGPD en l’àmbit de la intel·ligència artificial, però estimant necessari la realització d’actuacions per part de les autoritats competents a efectes de solventar i aclarir aquest tensions i aparents contradiccions, ja sigui a través de directrius d’interpretació o normatives, que es poden produir en l’aplicació del RGPD en aquest àmbit.

REFERÈNCIES

Guidance for automated decision-making and profiling. ICO

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/automated-decision-making-and-profiling/

Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679

https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

Study The Impact of the General Data Protection Regulation (GDPR) on artificial Intelligence.

https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf

NOTES AL PEU

[1] REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE

[2] Topol, E.J. (2019). High-Performance Medicine: The Convergence of Human and Artificial Intelligence. Nature Medicine, vol. 25, núm. 1: https://doi.org/10.1038/s41591-018-0300-7

Cookie	Duració	Descripció
cookielawinfo-checkbox-advertisement	1 any	La galeta la defineix el complement de consentiment de galetes del RGPD , aquesta galeta s’utilitza per registrar el consentiment de l’usuari per les galetes de la categoria "Publicitat" .
cookielawinfo-checkbox-analytics	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD, aquesta galeta s’utilitza per registrar el consentiment de l’usuari per a les cookies de la categoria “Analítiques”.
cookielawinfo-checkbox-functional	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD per registrar el consentiment de l’usuari per les galetes en la categoria "Funcional".
cookielawinfo-checkbox-necessary	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. Les galetes s’utilitzen per emmagatzemar el consentiment de l’usuari per les galetes en la categoria “Necessari”.
cookielawinfo-checkbox-others	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. La galeta s'utilitza per emmagatzemar el consentiment de l'usuari per a les galetes de la categoria "Altres".
cookielawinfo-checkbox-performance	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD. La galeta s'utilitza per emmagatzemar el consentiment de l'usuari per a les galetes de la categoria "Rendiment".
PHPSESSID	sessió	Aquesta galeta és originària d’aplicacions PHP. La galeta s’utilitza per emmagatzemar i identificar l’identificador de sessió únic dels usuaris amb la finalitat de gestionar la sessió d’usuari al lloc web. La galeta és una galeta de sessió i s’elimina quan es tanquen totes les finestres del navegador.
viewed_cookie_policy	11 mesos	La galeta la defineix el complement de consentiment de galetes del RGPD i s’utilitza per emmagatzemar si l’usuari ha consentit o no l’ús de galetes. No emmagatzema cap dada personal .
VISITOR_INFO1_LIVE	5 mesos 27 dies	Una galeta configurada per YouTube per mesurar l’amplada de banda que determina si l’usuari obté la interfície de reproductor nova o antiga.
YSC	sessió	La galeta YSC la defineix Youtube i s’utilitza per fer un seguiment de les visualitzacions de vídeos incrustats a les pàgines de YouTube.

Cookie	Duració	Descripció
__sharethis_cookie_test__	sessió	Aquesta galeta la defineix ShareThis, per comprovar si el navegador accepta galetes
yt-remote-connected-devices	never	YouTube defineix aquesta galeta per emmagatzemar les preferències de vídeo de l'usuari mitjançant un vídeo de YouTube incrustat.
yt-remote-device-id	never	YouTube defineix aquesta galeta per emmagatzemar les preferències de vídeo de l'usuari mitjançant un vídeo de YouTube incrustat.

Cookie	Duració	Descripció
_ga	2 anys	La galeta _ga, instal·lada per Google Analytics, calcula les dades de visitants, sessions i campanyes i també fa un seguiment de l’ús del lloc per a l’informe d’anàlisi del lloc. La galeta emmagatzema informació de forma anònima i assigna un número generat aleatòriament per reconèixer els visitants únics.
_gat_gtag_UA_12072629_1	1 minut	Aquesta galeta la defineix Google i s’utilitza per distingir els usuaris.
_gid	1 dia	Instal·lada per Google Analytics, la galeta _gid emmagatzema informació sobre l’ús que fan els visitants d’un lloc web, alhora que crea un informe d’anàlisi del rendiment del lloc web. Algunes de les dades que es recopilen inclouen el nombre de visitants, la seva font i les pàgines que visiten de forma anònima.
CONSENT	16 anys 3 mesos 14 dies 13 hores	Aquestes galetes s’estableixen mitjançant vídeos de youtube incrustats. Registren dades estadístiques anònimes sobre, per exemple, quantes vegades es mostra el vídeo i quins paràmetres s’utilitzen per a la reproducció. No es recopilen dades confidencials tret que inicieu sessió al vostre compte de Google, en aquest cas les vostres opcions estan vinculades amb el vostre compte, per exemple. si feu clic a "m'agrada" en un vídeo.
vuid	2 anys	Vimeo instal·la aquesta galeta per recopilar informació de seguiment establint un identificador únic per incrustar vídeos al lloc web.

Cookie	Duració	Descripció
IDE	1 any 24 dies	Les galetes IDE de Google DoubleClick s’utilitzen per emmagatzemar informació sobre com l’usuari utilitza el lloc web per presentar-los anuncis rellevants i segons el perfil de l’usuari.
test_cookie	15 minuts	El test_cookie el defineix doubleclick.net i s’utilitza per determinar si el navegador de l’usuari admet cookies.

Subscriu-te i rep novetats i notícies

Butlletí TICSS

Sobre la Fundació

Patronat

Xarxes nacionals i internacionals

Ofertes de feina

Transparència

Actius digitals per la ciutadania

Àmbit social

Atenció digital personalitzada

Competències digitals

eHealth

Imatge mèdica digital

Integració social i sanitària

Intel·ligència artificial

Interoperabilitat

Actius

Finalitzats

Nosaltres

Entitats adherides

Documentació

Eina AIPD

Aula Virtual

Contacte

Notícies

Agenda

Sala de premsa

Butlletí