Imprimir Republish

Legislación

Con foco en la privacidad

Investigadores y universidades procuran adaptarse a la Ley General de Protección de los Datos Personales, vigente desde el mes de septiembre en Brasil

Recientemente, Brasil ha pasado a formar parte de la lista de países que cuentan con leyes específicas para el uso, la protección y el intercambio de datos de sus ciudadanos. La Ley General de Protección de los Datos Personales (LGPD), vigente en el país desde el mes de septiembre, establece los derechos de los individuos sobre sus datos e incorpora un estándar con los criterios y requisitos que deben seguir las empresas y los organismos públicos para un mejor cuidado con el uso de las informaciones personales y su intercambio con terceros. La nueva ley prevé incluso una multa diaria de hasta 50 millones de reales, además de la prohibición parcial o total de las actividades relacionadas con el tratamiento de los datos recolectados, en caso de incumplimiento. Esto ha generado dudas entre los investigadores, especialmente entre quienes se desempeñan en el área de las ciencias humanas, sociales y de la salud, cuyos estudios involucran la recolección, el tratamiento y el análisis de las informaciones personales de voluntarios.

A su vez, las universidades están trabajando para adecuarse a la nueva ley. La necesidad de ampliar la infraestructura y capacitar a equipos especializados en seguridad informática y preservación de los datos constituye en la actualidad el principal reto para que esas instituciones logren adaptarse a la nueva legislación. “La gestión de los datos de los proyectos de investigación sigue siendo una responsabilidad del coordinador del estudio, pero el procesamiento de las informaciones personales y sensibles en un ambiente seguro y controlado para la labor científica, a partir de la LGPD pasa a ser responsabilidad de los organismos de investigación”, explica la socióloga Bethânia de Araujo Almeida, del Centro de Integración de Datos y Conocimientos para la Salud de la Fundación Oswaldo Cruz (Cidacs-Fiocruz), en el estado brasileño de Bahía. “Esto significa que esas instituciones deberán invertir en capacidad informática y capacitación de personal para asegurar un flujo adecuado de la recolección, el procesamiento, el almacenamiento y el acceso a los datos. Todo esto requiere recursos, algo que la mayoría de las universidades e institutos de investigación brasileños hoy en día no poseen”.

También hay preocupación por los datos administrativos e institucionales, que son los que constan en las matrículas académicas, los registros de personal, historias clínicas, etc. En la Universidad de Campinas (Unicamp), esas informaciones se encuentran distribuidas en estructuras descentralizadas. Es por eso que la institución creó a comienzos de este año el Comité de Gestión de Protección de los Datos, integrado por representantes de todos sus departamentos. “Cada uno está evaluando las informaciones de sus sistemas para identificar aquellas que necesitan ser protegidas”, explica Teresa Atvars, coordinadora general de la Unicamp. Atvars se refiere a lo que se denominan datos sensibles, que son los relacionados con el origen racial, étnico, genético, de religión profesada y aquellos relativos a la salud o la vida sexual registrados, por ejemplo, en las historias clínicas del Hospital de Clínicas de la institución. “Una vez identificadas, esas informaciones serán transferidas a un administrador central, que tomará los recaudos pertinentes para protegerlas. Eso es un trabajo complejo, dadas las dimensiones de la universidad”.

La Universidad de São Paulo (USP) también creó un grupo de gestión para adecuarse a la nueva ley. “La Superintendencia de Tecnología de la Información será la responsable del tratamiento operativo de los datos, mientras que los sectores de recursos humanos, de pregrado y de posgrado, entre otros, tomarán las decisiones acerca de qué datos deben protegerse y de qué forma se hará”, dice João Eduardo Ferreira, superintendente de Tecnología de la Información de la USP y coordinador del grupo de trabajo al frente del comité administrativo de la institución. La USP también está preocupada por los intentos de acceso ilegal a esa información. Más allá de invertir en sistemas de protección de los datos, introdujo el programa Hackers do Bem [hackers buenos], en el cual los alumnos de la carrera de grado y del posgrado en ciencias de la computación emplean técnicas de intrusión en sistemas para probar la seguridad de los datos protegidos. “La idea es identificar eventuales vulnerabilidades. Las que hemos identificado hasta ahora son mínimas, pero significativas”, dice Ferreira.

La FAPESP también se mueve para adecuarse a la nueva legislación. A finales del mes de septiembre se creó un equipo integrado por representantes de sus áreas principales para debatir sobre las medidas necesarias para cumplir con la LGPD en la institución. Las propuestas de medidas que han de adoptarse en la fundación se reunirán en un informe cuya presentación está prevista para comienzos de noviembre, según informa Fernanda Rizek, coordinadora del gabinete técnico de la Dirección Administrativa de la FAPESP.

“Las universidades afrontan una instancia de evaluación y mitigación de riesgos”, comenta el abogado Ivar Hartmann, docente de la Escuela de Derecho de la Fundación Getulio Vargas (FGV) en Río de Janeiro. Este proceso tiene lugar en medio de un debate acerca de la organización de la Autoridad Nacional de Protección de los Datos (ANPD), creada para brindar soporte a la aplicación de la LGPD, cuyas sanciones se harán efectivas a partir de agosto de 2021. Hartmann explica que la duda principal en torno a la ANPD se refiere a su autonomía en relación con el Poder Ejecutivo, al cual se encuentra vinculada. El 15 de octubre, el gobierno federal designó a cinco directores para la nueva agencia. Tres de ellos son militares.

Un estudio que llevó a cabo la asociación Data Privacy Brasil con las 20 naciones más desarrolladas del mundo –según los criterios del Fondo Monetario Internacional (FMI)– identificó la presencia de militares en los organismos responsables de la protección de los datos personales en tan solo dos países: China y Rusia, a cuyos gobiernos se los acusa de violar derechos fundamentales, incluso porque avalan los regímenes de vigilancia de sus ciudadanos. “Se temía que, en Brasil, la ANPD quedara bajo el paraguas del Gabinete de Seguridad Institucional de la Presidencia de la República. Afortunadamente, eso no sucedió”, comenta el abogado. “De todos modos, es esencial que la agencia sea transparente y para eso es necesario que sea independiente, toda vez que elaborará regulaciones que deberá seguir el propio Poder Ejecutivo”.

Incluso después de que se constituya su organismo regulador, la LGPD tendrá escaso impacto sobre las actividades de investigación científica en Brasil. Sucede que los estudios que involucran a seres humanos –y, por lo tanto, la recolección y el análisis de sus datos– ya cumplen un conjunto de reglas que incorpora las principales exigencias y técnicas de protección de datos previstas en la nueva ley. “La preocupación por los aspectos éticos relacionados con el manejo de las informaciones personales en el ambiente científico precede a la legislación actual y, en muchos puntos, incluso es más incisiva que la propia LGPD”, dice el abogado Danilo Doneda, del Instituto Brasileño de Enseñanza, Desarrollo e Investigación (IDP), de Brasilia, y miembro del Consejo Nacional de Protección de Datos y Privacidad, y coautor del texto de la LGPD.

El abogado Eduardo Tomasevicius Filho, de la Facultad de Derecho de la USP, va más allá. “Las leyes de protección de los datos personales vigentes en todo el mundo y ahora en Brasil son desarrollos producto de experiencias exitosas que implican reglas para las investigaciones con seres humanos que se establecieron luego de la Segunda Guerra Mundial [1939-1945], en primer lugar con el Código de Núremberg, en 1947, y más tarde con la Declaración de Helsinki, en 1964, y la Declaración de Bioética y Derechos Humanos de la Unesco [Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura], en la década de 1990”. En Brasil, explica, los estudios que involucran a seres humanos están regulados por resoluciones del Consejo Nacional de la Salud (CNS).

Uno de los puntos principales de la LGPD se refiere a la necesidad de que el titular otorgue su aprobación para la recolección y el tratamiento de sus datos personales. La ley también estipula que en cualquier momento el individuo puede revocar su consentimiento, así como solicitar el bloqueo de sus informaciones o incluso su exclusión, total o parcial, de los repositorios en los que se encuentran almacenados. De la misma manera, la gestión de esas informaciones debe hacerse tomando como base los objetivos de la investigación, que previamente deben ser informados a los voluntarios que intervienen en el estudio. “Ocurre que estos dispositivos ya se encuentran contemplados en el Término de Consentimiento Libre y Esclarecido [TCLE], conforme a lo que establece el CNS”, dice la neurocientífica Iscia Lopes Cendes, de la Facultad de Ciencias Médicas (FCM) de la Unicamp.

El TCLE es utilizado por los Comités de Ética en la Investigación Científica de las universidades para evaluar las normas éticas de los proyectos en los que intervienen seres humanos, independientemente del área del conocimiento involucrada. “Les deja constancia a los voluntarios de los detalles del estudio, sus objetivos, riesgos, posibles beneficios, entre otros apartados, de modo tal que el sujeto pueda manifestar su voluntad de participar o no en la investigación de manera consciente. Ninguna propuesta de investigación científica que involucre el uso de los datos de personas se aprueba sin este documento”, dice Lopes Cendes, quien forma parte del Comité de Ética en la Investigación Científica de la Unicamp. “El TCLE también garantiza la conservación de la confidencialidad de la información personal de los participantes, de acuerdo con lo que ahora estipula la LGPD”, subraya Tomasevicius.

Hoy en día los científicos utilizan dos técnicas para asegurar la privacidad de los datos de los voluntarios de sus investigaciones. Una de ellas es el anonimato, por medio del cual se excluye aquella información que pueda conducir a la identificación del titular de los datos. La otra es la desidentificación (o pseudoanonimato). En este último caso, se disocia de los datos principales la información que posibilita la identificación del sujeto de investigación, tales como su nombre, fecha de nacimiento, raza, etc. Esa información no se borra, queda en poder del coordinador del estudio. “Solo una persona tiene acceso a esos datos”, explica Lopes Cendes. Cada investigador almacena sus datos de acuerdo con la metodología descrita en el proyecto y en el formulario de consentimiento remitidos al Comité de Ética en la Investigación.

A juicio de Claudia Bauzer Medeiros, investigadora del Instituto de Computación de la Unicamp y miembro de la coordinación de los programas eScience y Data Science de la FAPESP, en primera instancia, la LGPD no introduce novedades en la rutina de los investigadores que recaban e intercambian datos, pero existe el temor de que los jueces puedan interpretarla de una manera desfavorable para la actividad científica. Por ejemplo, para garantizar que la información sobre un individuo no sea identificada entre los datos de un ensayo clínico o de un estudio antropológico del cual participó, la ley determina que deben emplearse “todos los medios técnicos razonables” capaces de propender al anonimato. “Empero, supongamos que un científico de la computación desarrolle un nuevo software y que este, luego de ser utilizado durante 20 años en supercomputadoras, sea capaz de identificar a una persona específica, o bien por tener conocimiento previo de alguna información confidencial, por ejemplo, una radiografía, pueda asociar determinada información con un individuo particular. Para mí, queda claro que situaciones como esta no se encuadran en los límites de lo razonable previstos en la ley, pero siempre podría darse el caso de demandas en la Justicia”, dice Bauzer Medeiros. En este sentido, existe el riesgo de que la LGPD debilite los esfuerzos tendientes a promover el intercambio y la reutilización de los datos de investigación, o incluso comprometa la participación de Brasil en cooperaciones internacionales. “Lo que no puede suceder es que el investigador deje de compartir sus datos para no correr el riesgo de infringir la ley. Eso sería pésimo para el avance de la ciencia”, dice.

Sin embargo, Ferreira, de la USP, deja claro que la ley es inequívoca cuando expresa que siempre que un dato se publique –o se comparta– necesariamente debe ser anónimo. Esto se aplica tanto a las iniciativas internas, que implican el intercambio de datos en repositorios institucionales, como externas, que es el caso, por ejemplo, de la plataforma Covid-19 Data Sharing/BR, lanzada en junio de este año y que recopila informaciones de laboratorio, clínicas y demográficas de alrededor de 180 mil individuos sometidos a los test para el diagnóstico del covid-19. “Los datos se guardan en forma anónima desde el punto de vista personal, clínico y de localización georreferenciada, de manera tal que los investigadores que los reutilizan no tienen acceso a ninguna información que pueda conducir a la identificación del individuo al cual se refieren los datos”, dice. Bauzer Medeiros, quien coordinó la creación de la Red de Repositorios de Datos de la FAPESP, a la cual está vinculada la Covid-19 Data Sharing/BR, refiere que cualquier dato de los pacientes que presente características identificables, como una enfermedad inusual, por ejemplo, no se comparten.

“Los científicos no están interesados en la información personal de los individuos, sino en los patrones o asociaciones sobre grupos de personas que surgen del conjunto de datos analizados”, añade Almeida, del Cidacs-Fiocruz. De todos modos, ella remarca que, según la LGPD, la indicación de que los datos serán compartidos debe constar en el TCLE firmado por el voluntario. “No habrá ningún problema si el titular autoriza que se compartan y reutilicen bajo determinados términos y condiciones destinadas a garantizar el tratamiento y el uso ético, legal y responsable de sus datos en investigaciones con finalidades convergentes”.

La nueva ley también permite el intercambio de datos con otros países siempre y cuando proporcionen un grado de protección similar a la LGPD. “Por consiguiente, la ley no afectará la colaboración científica entre Brasil y los países de Europa, puesto que estos cuentan con una ley incluso más estricta que la nuestra en ese sentido: el Reglamento General sobre la Protección de Datos, aprobado en 2016, que es el que inspiró la ley brasileña”, deja claro la científica de la información y del derecho Adriana Carla Oliveira, de la Universidad Federal de Rio Grande do Norte (UFRN). Estados Unidos no dispone de una ley de este tipo. En julio, la Justicia de la Unión Europea (UE) invalidó la transferencia de datos personales entre los países de ese bloque y Estados Unidos por considerar que el pacto Privacy Shield no los protegía en forma adecuada, lo que afectó a empresas que operan en la UE, pero que guardan sus datos al otro lado del Atlántico, tales como Google y Facebook. “La palabra clave cuando se trata del intercambio de datos en las prácticas científicas alineadas con la ciencia abierta, ahora más que nunca, es la anonimización”, dice Ferreira.

Republicar