jueves, 26 de abril de 2012

Controlando la privacidad de tus datos clínicos mediante un sistema de licencias “Health Commons”

El manejo de información vital siempre involucra a una gran multiplicidad de actores. Y cuando se trata de información sensible vinculada con nuestro propio cuerpo, el entramado de agentes intervinientes en todo el proceso se torna mucho más complejo aún. Observa la foto que encabeza este post y luego, algunos párrafos más abajo, contempla la misma escena pero con el desglose de los 15 agentes (podrían ser más...) que participan de la cadena de intercambio de datos clínicos obtenidos a partir de la simple visita de un paciente a un centro de salud cualquiera...

Quizás nos tenga sin cuidado lo que se haga luego con dicha información. O tal vez sí nos importe, y hasta consideremos que bajo ninguna circunstancia esos datos deberían ser divulgados. En todo caso, el sentido común nos indica que bien podría buscarse un punto medio, y que podríamos dar nuestro consentimiento para que esa información sea reutilizada y manipulada dependiendo de ciertas variables, como ser el tipo de la información extraída, quiénes la usarán, bajo qué condiciones, con qué propósito, con fines de lucro o no, etc. En otras palabras, lo más sensato sería que pudiéramos establecer de antemano qué tipo de datos estamos dispuestos a compartir y en qué términos, ¿verdad?

Algo parecido sucedía algún tiempo atrás con las obras y los derechos de autor. Antes de que existiera Creative Commons, cualquiera que quisiera intercambiar públicamente información sujeta a la propiedad intelectual debía debatirse ante una disyuntiva similar a la que acabamos de plantear. Era blanco o negro, sin grises... La “dictadura” del copyright era inflexible. Nadie podía reproducir, mejorar o difundir nada, aunque el autor de la obra en cuestión estuviera de acuerdo con ello, ya que no existía ningún mecanismo que permitiera consignar bajo qué condiciones alguien estaba dispuesto a compartir sus creaciones con los demás.

El propósito de este post es que exploremos juntos la posibilidad de implementar un sistema de licenciamiento similar al de Creative Commons pero aplicado a datos privados relacionados con nuestra salud, que permita que cada uno decida qué autoriza que se haga con la información sobre su propio cuerpo y bajo qué condiciones, y que a su vez les facilite a aquellos que recolectan y usan dicha información especificar con claridad cómo se valdrán de ella.

Pero para que comprendas cabalmente en qué consiste esta idea en la que estamos intentando incursionar, primero deberías tener claro cómo funciona el sistema pergeñado por el equipo de Creative Commons. Hasta hace poco tiempo atrás, como te decíamos, el intercambio de contenidos sólo se regía por las leyes rígidas del copyright, lo cual entorpecía hasta niveles insospechados la utilización de cualquier obra y favorecía la aparición de numerosos intermediarios improductivos, rayanos con lo parasitario. Incluso cuando uno quisiera que su material fuese copiado y difundido, no había manera de que esto pudiera ser expresado formal y legalmente...

Los fundadores de Creative Commons querían encontrar una manera fácil para que la gente pudiera certificar que, efectivamente, permitía ciertos usos de sus obras. Cuenta la leyenda que consultaron a los que más sabían de derechos de autor en todo el mundo, las autoridades de la Oficina de Propiedad Intelectual de EE.UU., para que los asesoraran, pero les respondieron que no existía ninguna manera de hacer eso que pretendían por fuera del famoso copyright. Imaginamos que les dijeron algo así como “No brindamos ese tipo de servicio, arréglenselas como puedan, sean creativos”...

“Sé creativo, es fácil cuando te salteas a los intermediarios...”

Y eso fue precisamente lo que hicieron... El resultado fue es un set flexible de licencias estandarizadas de propiedad intelectual que están disponibles gratuitamente, para cualquiera, en el sitio web de Creative Commons. Escribieron dichas licencias en el lenguaje de los abogados y los tribunales, y después las tradujeron al lenguaje de todos los días, para finalmente codificarlas según el lenguaje que entienden las computadoras... Así delinearon cuatro tipos de licencias básicas:

1. El beneficiario de la licencia tiene el derecho de copiar, distribuir, exhibir y representar la obra y hacer obras derivadas siempre y cuando reconozca y cite la obra de la forma especificada por el autor o el licenciante.

2. El beneficiario de la licencia tiene el derecho de copiar, distribuir, exhibir y representar la obra y hacer obras derivadas para fines no comerciales.

3. El beneficiario de la licencia solamente tiene el derecho de copiar, distribuir, exhibir y representar copias literales de la obra, pero no tiene el derecho de producir obras derivadas.

4. El beneficiario de la licencia tiene el derecho de distribuir obras derivadas bajo una licencia idéntica a la licencia que regula la obra original.

Las licencias Creative Commons (CC) no pretenden competir contra el copyright, sino complementarlo. Te permiten conservar la propiedad intelectual de tu obra y, a su vez, conceder autorizaciones para que sea usada de ciertas maneras y bajo determinadas condiciones. Si  el copyright es un semaforo en rojo, CC es un semáforo en verde... Mientras que el copyright significa “Todos los derechos reservados, CC significa “Algunos derechos reservados”. A continuación, el fenómeno, explicado por los propios padres de la criatura:

La idea-semilla plantada en la Reunión Anual de la AAAS

Eduardo Jezierski, CTO de InSTEDD, participó de la Reunión Anual de la American Association for the Advancement of Science, y en esa oportunidad planteó ante la concurrencia cómo sería trasladar estos conceptos de Creative Commons al ámbito de la privacidad de nuestros datos clínicos. Volcó sus impresiones en un post de su blog, que a continuación traducimos...

Eduardo Jezierski
Si adscribes a la idea de que nadie más que tú puede ser el dueño de la información acerca de tu cuerpo, entonces es evidente que consideras que deberías tener injerencia sobre lo que pasa con esos datos después de haber sido recolectados. Desafortunadamente, hoy por hoy no existe ninguna manera clara y sencilla de que expreses cómo preferirías que terceros se valgan de esos datos. De hecho, en la mayoría de los casos ni siquiera se te consulta nada al respecto...

Como resultado de ello, veo que muchos implementadores de proyectos de eHealth toman decisiones un tanto desconsideradas acerca de la gestión de datos que afectan directamente los derechos y la privacidad de poblaciones, pacientes y médicos por igual. Ellos se adueñan de información sobre la que carecen de derechos, la comparten y analizan, y en ciertas ocasiones, incluso, accidentalmente.

Es que hay tantos incentivos para producir e intercambiar datos libremente... La gente podría utilizar dicha información bajo el pretexto del análisis de big-data, publicaciones de investigación científica, mejoramiento de la calidad de productos, en nombre de la eficiencia, investigación médica, marketing, solicitud de aplicación a subsidios, análisis de operaciones y demás.

De esta manera se va gestando un terreno propicio para la violación de los derechos y la defraudación de las expectativas, en la medida en que este tipo de proyectos de eHealth tienden a convocar a un montón de actores involucrados, cada uno de ellos con sus propios idiomas, objetivos y culturas.

Por desgracia, hay una notable falta de un lenguaje en común y de un marco adecuado en cuyo seno se pueda entablar una discusión seria acerca de los derechos para compartir y utilizar datos vinculados con la salud. Los académicos recurren a los informes del IRB (Institutional Review Board –Consejo de Revisión Institucional–), pero pocas veces comprenden cabalmente los términos de la licencia. Los médicos utilizan los sistemas de eHealth pero no son especialistas en información, por lo que rara vez se aventuran a ir más allá de su uso limitado al ámbito clínico y de la salud pública.

Los sistemas privados pueden o no instrumentar contratos de licencia de software (EULAs –End User License Agreements–) e imponen una política “multiuso”, un modelo aplicable uniformemente a cualquier caso, y nadie se toma el trabajo de leer las licencias, de todas formas, porque son complicadas y, encima, cada una es diferente de las demás... Los médicos de EE.UU. invocan la HIPPA (Health Insurance Portability and Accountability Act –Ley de Portabilidad y Responsabilidad de Seguros de Salud–), mientras que los extranjeros sonríen socarronamente...

Los gobiernos lanzan algún proyecto de mHealth para combatir el HIV, y los datos terminan en la laptop de algún pasante en California, debido a que él colaboró con el desarrollo del sistema de base de datos. Como puedes darte cuenta fácilmente, este flujo de información rara vez implica el consentimiento explícito de la población para que los datos puedan ser manipulados por aquellos agentes de la salud sobre los que la gente ha depositado su confianza.

Imagínate esta situación: una madre se presenta en un centro sanitario y recibe un diagnóstico clínico acerca de la salud de su hijo. ¿Quién es el dueño de los derechos sobre dichos datos? ¿El niño? ¿Su madre? ¿Y qué hay acerca del médico que realiza los tests, del fabricante de la máquina con la que se llevan a cabo los exámenes, del sanatorio en el que trabaja el doctor, de la ONG que implementó el programa de diagnóstico, del fundador de la ONG que compró la máquina, del gobierno del país en el que se desarrolla la acción, de la Organización Mundial de la Salud..?

¿Quién puede hacer qué cosas con los datos? 

Recientemente asistí a la Reunión Anual de la AAAS (American Association for the Advancement of Science –Asociación de Estados Unidos para el Progreso de la Ciencia–) e integré un panel de expertos sobre la consigna Vigilancia en la Web: Luchando contra el Terrorismo y las Enfermedades Infecciosas. Fue una buena oportunidad para ponerme al día con Nigel Collier, de Biocaster, y de escuchar algunas de las preguntas punzantes de Vint Cerf, uno de los padres de la internet.

Había representantes de todo tipo de trabajos de relevamiento y monitoreo, desde anti-terrorismo hasta propagación de memes  –conductas culturales transmitidas de generación en generación, o de mente a mente, por imitación (neologismo que suena parecido a “gene”, o gen)–, y hasta de seguimiento de la propagación de enfermedades infecciosas... Y en ese contexto, presenté el bosquejo de una idea

¿Qué tal si creáramos un marco sencillo de concesión de licencias que dejara bien en claro cuáles son los derechos y las restricciones respecto de los datos asociados con nuestra salud, a medida que éstos son almacenados, agregados y analizados por terceros?

Imagen extraída del website del Lawrence Berkeley National Laboratory
Así como el sistema de licencias de Creative Commons favorece que el trabajo creativo pueda ser compartido ampliamente, bajo términos y condiciones absolutamente predecibles, que respetan la voluntad de sus respectivos creadores, ¿podría un sistema de “Health Commons” –o “Commons de la Salud” –  hacer lo mismo con los datos relacionados con nuestra salud? ¿Qué lecciones podemos aprender a partir de la evolución de la manera de compartir información en la web, para que podamos aplicarlas a este espacio crítico de monitoreo de situaciones de emergencia?

Me encantaría algún día poder ser capaz de compartir información acerca de mi salud mediante alguna aplicación móvil, en algún website de salud o bien en algún procedimiento de diagnóstico, especificando claramente mi voluntad de compartir dichos datos, pero de acuerdo con las siguientes restricciones:

Algunas veces podría decir que estoy de acuerdo con que relacionen los datos en cuestión con mis demás registros, y otras veces no: todo dependerá del contexto y de qué tipo de información a compartir se trate. Aquí lo más importante es que los datos relativos a mi salud estarían bajo mi control.

O, por el contrario, si yo estoy participando de alguna encuesta para una investigación, para lo cual se valdrán de mi información de diagnóstico, o cuando se me derive a algún otro clínico, me gustaría saber si mis datos serán utilizados bajo alguna licencia forzosa, de manera que yo pueda tomar una decisión informada acerca de si quiero participar o no de dicho sondeo.

¿Cómo funcionaría este sistema de licencias?

La idea, esbozada sucintamente, sería la siguiente:

1. Tratar la información personal como si fueran datos cubiertos por la ley de propiedad intelectual, considerando al paciente/emisor como el dueño legítimo de ese copyright

2. Diseñar un esquema de licencias que conceda derechos y establezca restricciones explícitas para los receptores de dichos datos.

3. Asegurarse de que los derechos y las restricciones estén claramente establecidos, de manera que el re-licenciamiento y la agregación estén regidos por normas claras y simples.

4. Adjuntar opciones de licenciamiento en todos los diagnósticos relevantes y plataformas de registros médicos, como así también en websites de salud, redes sociales, etc.

5. Comunicar y bregar por el respeto del marco propuesto, cuidando muy especialmente de ir consolidando la conciencia de su importancia en la comunidad. 

No estoy totalmente convencido de que el ejemplo de licencia que he ensayado más arriba (enlazar los datos con otra información personal, agregar datos y usarlos para salud, ciencia y comercio) sea el más adecuado. Me encantaría escuchar más ideas para la clase de restricciones y de libertades que una simple licencia podría regular...

Tal vez otro tipo de términos sean más importantes... ¿Hay niveles de anonimato que yo podría especificar para mis datos en la modalidad de agregación? ¿Existen cláusulas para casos de desastres naturales o situaciones de crisis que me permitirían omitir temporariamente los conflictos de privacidad en aras de que me pueda reunir rápidamente con mis familiares, por ejemplo? Lo interesante de este modelo es que proporciona un marco en cuyo seno podrían ser resueltas todas estas cuestiones...

La genialidad de los fundadores de Creative Commons residió en haber elegido unas pocas reglas sencillas, fáciles de comprender para una gran mayoría, en vez de intentar confeccionar una licencia más compleja, abarcadora de todos los casos y preferencias posibles. Un proyecto de Health Commons como el que sugerimos debería poder emular ese mismo enfoque. Cada vez que tú ves el ícono de Creative Commons al pie de algún contenido, no debes olvidar que éste lleva detrás de sí un inteligente y jurídicamente sólido conjunto de términos y licencias.

¿Cuáles serían los próximos pasos a seguir?

Aquel que se sienta inclinado a desarrollar un proyecto de estas características, que por favor me lo haga saber. Esta idea necesita del trabajo de abogados expertos en derechos de autor, estudiosos de la propiedad intelectual, geeks versados en datos del IRB, agentes proveedores de servicios de la salud, y, lo más importante, cualquier ciudadano común y corriente al que le gustaría poder disponer de una herramienta de estas características. 

Estoy especialmente interesado en el marco de licenciamiento requerido para un intercambio seguro de información personal relativa a la salud. Ya he visto “Health Commons” implementados para describir un patrimonio común de conocimientos con conceptos de la propiedad intelectual como si fueran secuencias genéticas, pero creo que es mucho más necesario enfocarse en la ola de marea entrante de los datos personales integrados a partir de registros digitalizados, sensores y vigilancia.

Creo que especialmente los grandes financiadores y las empresas que se sitúan en la intersección entre el trabajo en el ámbito de la ayuda humanitaria y las inversiones en el campo de la ciencia necesitan, a efectos de optimizar sus marcos de acción, asegurarse de que sus programas tengan un abordaje ético respecto de la protección de los derechos de sus beneficiarios. Mientras tanto, tal vez ellos deberían tomar conciencia de que tan sólo están almacenando información protegida por derechos de autor “de prestado”...

Nos interesa mucho conocer tu opinión al respecto. Por favor, déjanos tus comentarios e involúcrate.

Para nuestro trabajo en InSTEDD usamos profusamente el sistema de licenciamiento de Creative Commons. La mayoría de nuestras presentaciones están licenciadas explícitamente bajo el estándar CC BY-NC-SA 3.0  –Attribution, Noncommercial, Share Alike (Reconocimiento, No comercial, Compartir igual)–, y lo mismo se aplica para el material difundido en este post...

Al igual que InSTEDD, Creative Commons es una organización sin fines de lucro que puede sostenerse, entre otras cosas, gracias al apoyo de personas como tú. Si deseas efectuar una donación, puedes hacerlo aquí: https://creativecommons.net/donate/.

