El pasado mes de diciembre, el Consejo General de Médicos (CGCOM) y la Agencia Española de Protección de Datos (AEPD) suscribieron un convenio de colaboración para trabajar conjuntamente en garantía de los derechos y libertades de las personas en el tratamiento de sus datos en el ámbito sanitario. Hoy, Médicos y Pacientes entrevista a su máxima responsable, Mar España, para conocer las líneas de trabajo conjuntas, su visión sobre el espacio europeo de datos sanitarios y abordar la enorme preocupación compartida respecto al impacto en la salud de los menores en relación con el acceso a la pornografía y servicios para adultos en Internet calificada por el presidente del Gobierno de España como “epidemia”.
¿Cuál es el principal objetivo del reciente protocolo firmado con el Consejo General de Médicos?
El objetivo del protocolo es trabajar de forma conjunta para garantizar los derechos y libertades de las personas en el tratamiento de sus datos de ámbito sanitario. La Agencia promoverá acciones de sensibilización sobre privacidad y protección de datos a los miembros de los Colegios Oficiales de Médicos a través de su Consejo General y éste, a su vez, ofrecerá ayuda y asesoramiento a la Agencia para fomentar la protección y el bienestar de las personas en el mundo digital. El convenio también contempla la organización de jornadas, seminarios o mesas redondas y la realización de estudios y publicaciones en esta materia.
La firma de este convenio va a permitir la colaboración en actividades, como la difusión del Canal Prioritario y los materiales y herramientas dirigidos a reforzar los derechos de las personas que son objeto de atención sanitaria, así como en iniciativas enfocadas a la protección de los datos de menores. En esta colaboración hemos también de mencionar la participación del CGCOM en el Grupo de Trabajo ‘Menores, salud digital y privacidad’.
¿Cómo valora el reciente texto aprobado por la Eurocámara sobre el espacio europeo de datos sanitarios? ¿Cómo va a afectar a la profesión médica? ¿Y a los pacientes?
Positivamente. Es un reglamento que permitirá la mejora de la atención sanitaria y la investigación en salud de una forma respetuosa con los derechos de las personas. Sienta las bases de la compartición de datos a nivel europeo para atención sanitaria y diagnóstico médico, así como para la compartición masiva de datos sanitarios de cara a investigación, donde ya hay iniciativas muy importantes como la iniciativa que lanzó justo hace un año la Comisión Europea sobre la investigación del cáncer basada en la compartición de imágenes médicas de toda la UE.
Este nuevo Reglamento reconoce la necesidad de respetar el modelo de protección de datos implementado en el RGPD y subraya la importancia de hacerlo, entre otras cosas, para conseguir la confianza de los ciudadanos. En el momento actual de desarrollo tecnológico en el que nos encontramos, en el que la digitalización ya es una realidad y los ciudadanos cada vez proporcionamos más datos fácilmente utilizables por las diferentes tecnologías, la protección de los derechos y las libertades de las personas físicas parte, en grandísima medida, de la protección de los datos personales.
Asimismo, fomenta la innovación para asistir a la profesión médica donde la inteligencia artificial tendrá un papel principal, pero debe tenerse en cuenta que todo tratamiento ha de cumplir con el artículo 5.2 del RGPD, el principio de responsabilidad proactiva o accountability. Por ello, habría que incidir sobre la transparencia y explicabilidad de las herramientas que sean utilizadas en estos espacios de datos para la asistencia médica, ya que en este ámbito (como en muchos otros) no se debería tomar una decisión sugerida por una máquina si no es entendida por un médico.
Otro aspecto importante para tener en cuenta es la evolución de la base legal del tratamiento, que en muchos casos se basa en el consentimiento. Este consentimiento puede evolucionar a lo largo del tiempo y hay que establecer mecanismos que permitan que el interesado lo cambie, no solo en el sentido de que no quiera seguir dando su consentimiento, si no que pueda escoger a qué fines específicos da el consentimiento en cada momento.
Por otro lado, cabe destacar que a nivel nacional se desarrolló la Estrategia de Salud Digital y se ha creado la Comisión de salud digital a través del Consejo Interterritorial del Sistema Nacional de Salud donde, además, la AEPD participa en la Comisión de Salud Digital. Esta comisión está dando forma al espacio nacional de salud que en un futuro formará parte del espacio europeo.
En la era del big data ¿en qué medida los datos sanitarios serán objeto de conflicto entre empresas, estados e individuos? ¿Quién ganará la batalla?
Como apuntaba anteriormente, los ciudadanos cada vez ponemos a disposición más datos, y la tecnología ha evolucionado de tal manera que cada vez es más sencillo explotarlos de manera masiva. Hemos escuchado en muchas ocasiones que los datos ahora son el nuevo petróleo, algo muy codiciado por empresas, y los datos sanitarios, por sus características, lo son aún más. Para ello están las regulaciones como la del espacio europeo de datos sanitarios, y en especial el RGPD, que velan por garantizar los derechos de los individuos.
En esta época de digitalización de los datos, la protección de los derechos pasa por la protección de los datos personales. Ello tiene impacto en el resto de derechos y libertades, por lo que es fundamental que todas las soluciones tecnológicas actuales en el marco del big data sean respetuosas con la protección de datos. Desde las Administraciones está claro el papel tan importante de servicio a los ciudadanos y la protección de los derechos, pero aquí, además, las empresas también juegan un papel esencial. En las políticas de responsabilidad empresarial o responsabilidad social corporativa, la protección de los derechos de las personas tendría que ser uno de los ejes, y es algo que va más allá del mero cumplimiento normativo; de hecho, genera confianza, fomenta la innovación, la ética y, en la cuenta de resultados, también se ven los resultados positivos. En suma: la tecnología debe, en todo momento, ser respetuosa con los derechos y las libertades de los individuos.
El auge de la Inteligencia Artificial ¿supone un gran reto a la hora de regular la protección de datos?
La IA tiene un notable impacto en esta materia. Aunque el Reglamento de IA trata sobre sistemas de IA, pero no tratamientos que utilicen uno o más sistemas de IA -lo que es competencia del RGPD asumidas por la AEPD- la Agencia ha sido pionera en Europa a la hora de abordar la casuística de tratamientos que incorporen sistemas de IA o el desarrollo mediante entrenamiento con datos personales de sistemas de IA.
En febrero de 2020 ya publicamos la primera guía europea sobre ‘Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial’. En enero de 2021, publicamos los ‘Requisitos para Auditorías de Tratamientos que incluyan IA’, desarrollados durante la pandemia y cuyos requerimientos se alinean con lo que luego resultaron los textos propuestos en el RIA. Desde hace dos años celebramos un ‘Espacio de Estudios sobre IA’ con representantes de todos los sectores interesados, colaboramos con el Supervisor Europeo de Protección de Datos en el desarrollo de notas técnicas sobre IA y publicamos artículos en el blog de la AEPD sobre temas específicos de IA y protección de datos.
Además, como Autoridad de Control que tiene como misión velar por los derechos y libertades de los ciudadanos, ya se han iniciado actividades de control para determinar la adecuación de tratamientos que se están implementado con sistemas de IA. En particular, y en el marco de las actividades para la protección de menores en el entorno digital, se están ejecutando acciones específicas en tratamientos basados en IA que pudieran afectar a la adicción de los menores en Internet.
¿Qué papel debe de jugar la Agencia Nacional de Supervisión de la Inteligencia Artificial?
La Agencia Española de Supervisión de Inteligencia Artificial, en sus estatutos, fija entre sus fines “la concienciación, divulgación y promoción de la formación, y del desarrollo y uso responsable, sostenible y confiable de la inteligencia artificial” y defiende “reforzar la protección de los usuarios y evitar sesgos discriminatorios”, por lo que además de ser encargada de la supervisión del cumplimiento del Reglamento de Inteligencia Artificial, debe velar porque estos sistemas sean éticos y garanticen los derechos y libertades de las personas. Por ello, hay que incidir en que la protección de datos es esencial y en la importancia de reforzar los mecanismos de cooperación entre Agencias.
El reglamento de inteligencia artificial exige una serie de requisitos a los sistemas que sirven para asegurar que el sistema cumple con la norma. Es significativo que prohíba algunas prácticas de cara a la protección de los derechos de las personas y exija hacer un análisis de riesgos para calificar el riesgo del sistema y los requisitos normativos que serán de aplicación. Es aquí donde el RGPD juega un papel fundamental para proteger los citados derechos y libertades.
Como ejemplo podríamos pensar una aplicación conversacional, un asistente virtual basado en IA o chatbot. En principio, este chatbot no supondría un sistema de alto riesgo desde el punto de vista del nuevo Reglamento; sin embargo, si este chatbot es utilizado en un tratamiento de asistencia a víctimas de violencia de género puede implicar pasar a calificar el tratamiento como de alto riesgo para los derechos y las libertades y obligar a implementar una serie de medidas de protección de datos desde el diseño del tratamiento para poder llevarlo a cabo.
Parece claro que ninguna tecnología se encuentra exenta de riesgos y el RGPD viene a establecerse como una normativa para la prevención de las consecuencias negativas que cualquier tecnología -utilizada o no en el contexto de un tratamiento- pueda tener para la sociedad en general, para un grupo de personas o para una persona concreta. De esta manera, el RGPD se establece como un marco que genera la confianza y a la vez permite el desarrollo de la economía digital.
¿Considera que los españoles están bien informados sobre la importancia de ceder sus datos personales y los riesgos que entrañan en ocasiones?
Un buen indicador del grado de información que poseen los ciudadanos acerca de la importancia de proteger sus datos de carácter personal -y de aspectos como su cesión a terceros y los riesgos implícitos- puede extraerse de las memorias anuales de la AEPD. Este creciente conocimiento por parte de los españoles se evidencia en el número creciente de reclamaciones recibidas en los últimos años: si en 2020 la Agencia recibió más de 10.300, en 2021 la cifra superó las 13.900 y en 2022 las 15.100. Esta tendencia alcista revela un conocimiento cada vez mayor no solo de los derechos que asisten a los ciudadanos en esta materia, sino de la existencia de la AEPD como autoridad de control y salvaguarda del derecho fundamental a la protección de datos.
En todo caso, la Agencia continúa teniendo como objetivo principal fomentar una cultura de protección de datos tanto entre quienes manejan datos personales como entre la ciudanía. En un contexto globalizado en el que la digitalización y las nuevas tecnologías avanzan de forma imparable, la Agencia ha puesto el foco especialmente en los avances tecnológicos y ha dirigido parte de sus esfuerzos a elaborar y ofrecer información, que se ha materializado en distintos materiales como guías, infografías, y la realización de campañas para incrementar la concienciación.
En referencia a los datos con relación a menores de edad ¿Qué medidas deben de adoptarse para aumentar su protección?
La Agencia ha hecho de la protección de los menores y sus datos de carácter personal un objetivo prioritario en los últimos años, que forma parte de su Plan de Responsabilidad Social a través de los compromisos lleva a cabo con la sociedad. Así, dentro de sus competencias, la AEPD ha venido desarrollando materiales y realizando campañas para fomentar y aumentar la protección de sus derechos en diferentes ámbitos. Asimismo, ha realizado numerosas campañas para fomentar la educación de niños, niñas y adolescentes en el uso adecuado de las nuevas tecnologías. Es el ejemplo ‘Cambia el plan’, realizada junto a la Asociación Española de Pediatría, para promover la salud digital de los menores a través de la concienciación de sus padres y madres, reduciendo los riesgos que supone a nivel físico, mental, sexual y social el uso intensivo y sin control de las pantallas.
Por otra parte, la Agencia ha apoyado propuestas como la de ‘Pacto de Estado para la protección de los menores de edad en internet y las redes sociales’ presentado por la Asociación Europea para la Transición Digital, promotora de la iniciativa, Save The Children, Fundación ANAR, iCMedia, Dale la Vuelta y UNICEF.
El uso creciente de nuevas tecnologías y de servicios de internet por parte de menores, y a edades cada vez más tempranas, implica una notable exposición de sus datos. A esto hay que añadir que están utilizando servicios diseñados para adultos, lo que puede estar afectando a su forma de socializar, fomentar posibles problemas de salud mental y facilitar situaciones de violencia, como acoso escolar y sexual. Por ello la Agencia trabaja en el marco del grupo de ‘Menores, salud digital y privacidad’, activo desde 2019, en el que participan representantes de varios ministerios e instituciones y organismos públicos con competencias en materia de protección a la infancia y adolescencia en Internet.
Existe una gran preocupación sobre el acceso a la pornografía en los menores de edad y su impacto a nivel psicoemocional. ¿Qué datos tienen sobre esta situación y que se puede hacer para abordarlo?
Son varios los estudios que abordan este preocupante problema y sus implicaciones. Datos de Save the Children revelan que más de la mitad de los menores ha accedido por primera vez a la pornografía antes de los 13 años, casi el 9% lo hizo antes de los 10 años y la media de inicio se sitúa en los 12.
Por otra parte, según datos recabados por la entidad ‘Dale una vuelta’, en la pornografía actual casi el 90% de los vídeos muestran agresiones físicas o verbales. Este dato conecta con la afirmación de un grupo de investigadores de la UNIR, que han observado una mayor causalidad entre consumo de pornografía y violencia sexual en la juventud. En su última memoria, la Fiscalía General del Estado ha denunciado un «notabilísimo y preocupante ascenso» de las agresiones sexuales cometidas por menores de edad. Así, las investigaciones abiertas por agresiones sexuales en los que los autores eran menores han aumentado un 116% desde 2017.
Desde el prisma de la Agencia una de las medidas que hay que acometer con urgencia es el establecimiento de sistemas eficaces de verificación de la edad que impidan que los menores puedan acceder a contenidos de adultos. Por ello, la AEPD ha presentado una propuesta pionera en Europa de sistema de verificación de edad y protección menores de edad en Internet ante el acceso a contenidos para adultos.
Este sistema, que conjuga la protección a la infancia y el interés superior del menor con el derecho a la protección de datos de todos los ciudadanos, implementa un mecanismo que trata el atributo de la edad en el dispositivo del usuario, pero sin que la identidad de la persona ni la condición de menor sea accesible para las páginas web a las que se accede. La propuesta contempla un decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, con sistemas operativos distintos y empleando varios proveedores de identidad. En paralelo, colaboramos estrechamente con la CNMC, y la FNMT trabaja en una app que servirá para ayudar a proteger a este colectivo.
Tras la presentación de esta propuesta, estamos manteniendo reuniones con representantes de las operadoras de telefonía, así como de proveedores de contenidos y servicios de internet, entre los que se encuentran Google, Meta, Tik Tok, Amazon, Microsoft o Apple, para explicarles con detalle esta propuesta de sistema de verificación de edad ante el acceso a contenidos inadecuados, no sólo pornográficos, sino también violentos, apuestas online o compra de alcohol online. Y, en el plano internacional, estamos colaborando con otras autoridades de control en el marco del Comité Europeo de Protección de Datos para aprobar unos criterios comunes de verificación de la edad, que esperamos tengan como base nuestra propuesta.
La adicción a las pantallas es otro grave problema para nuestros pequeños y jóvenes. El CGCOM y la AEPD están inmersos en una iniciativa para abordar esta grave situación ¿Cuáles son los objetivos que se marcan?
Efectivamente, informes como el de UNICEF sobre el impacto de la tecnología en la adolescencia muestran un uso intensivo de los dispositivos digitales por los menores: casi una tercera parte pasa más de 5 horas al día en Internet, porcentaje que llega al 50% los fines de semana.
Es una de las cuestiones que preocupan y sobre las que se está trabajando en el citado Grupo de Trabajo ‘Menores, salud digital y privacidad’ en el que participa el CGCOM, cuyo cometido es lograr que los menores hagan de Internet un uso saludable y responsable, de manera que sea un espacio seguro en el que puedan aprovechar y disfrutar las oportunidades que ofrece la tecnología y, por otra parte, evitar los efectos nocivos que un uso problemático o adictivo puede provocar en su salud física, mental y sexual, así como en su neurodesarrollo, aprendizaje, rendimiento escolar y bienestar familiar.
El objetivo es disponer de recursos al alcance de las familias, profesionales del ámbito educativo y sanitario que proporcionen orientaciones para la prevención del uso adictivo de las pantallas, mecanismos para su detección y tratamiento. Por ello, las aportaciones del CGCOM, basadas en la evidencia científica, son fundamentales para dotar alcanzar el objetivo de protección a los menores en Internet.
